%q

簡単に言うと、%qは以下の処理を行います。

1. シングルクォートのエスケープ: 入力された文字列に含まれるすべてのシングルクォート（'）を、SQLでエスケープするためにダブルシングルクォート（''）に変換します。これにより、文字列内に含まれるシングルクォートがSQL文の区切りとして解釈されるのを防ぎます。
2. SQLインジェクション対策: 上記のエスケープ処理により、ユーザーからの入力がSQL文の一部として悪用される「SQLインジェクション」攻撃を防ぐのに役立ちます。

具体例:

例えば、sqlite3_mprintf() 関数を使ってSQL文を組み立てる場合を考えます。

通常の%s（C言語のprintfと同じ文字列置換）を使うと、以下のようになります。

char *name = "O'Reilly";
char *sql = sqlite3_mprintf("INSERT INTO users (name) VALUES ('%s')", name);
// 結果: INSERT INTO users (name) VALUES ('O'Reilly')

この場合、生成されたSQL文は O'Reilly の中の ' で文字列が途切れてしまい、構文エラーになります。

一方、%qを使うと、以下のようになります。

char *name = "O'Reilly";
char *sql = sqlite3_mprintf("INSERT INTO users (name) VALUES ('%q')", name);
// 結果: INSERT INTO users (name) VALUES ('O''Reilly')

%qによってO'ReillyがO''Reillyに変換され、SQLとして正しく解釈されるようになります。

%Qとの違い:

SQLiteには%Qという似たような書式指定子もあります。%qと%Qの主な違いは以下の通りです。

• %Q: 入力文字列中のシングルクォートをエスケープするだけでなく、結果の文字列を自動的にシングルクォートで囲みます。また、入力がNULLポインタの場合、'NULL'ではなくNULL（シングルクォートなし）というテキストに置換されます。
• %q: 入力文字列中のシングルクォートをエスケープしますが、文字列の外側にシングルクォートを追加しません。そのため、'%q' のようにSQL文側でシングルクォートで囲む必要があります。

---

%qに関連するよくあるエラーとトラブルシューティング

シングルクォートのエスケープ不足（%sと誤用した場合）

エラーの症状: SQL構文エラー（SQL logic error）が発生したり、クエリが意図しない結果を返したりします。特に、ユーザー入力にシングルクォート（'）が含まれている場合に顕著です。

原因: %qを使うべき場所で、文字列をエスケープしない%s（C言語のprintfと同じ）を使用してしまっていることが原因です。%sは文字列をそのまま展開するため、文字列中のシングルクォートがSQLの文字列リテラルの区切りとして解釈され、SQL文の構文が壊れてしまいます。

例（C言語の場合）:

char *user_input = "O'Malley";
// 誤り: %s を使用
char *sql = sqlite3_mprintf("SELECT * FROM users WHERE name = '%s';", user_input);
// 生成されるSQL: SELECT * FROM users WHERE name = 'O'Malley';  <- 構文エラー

// 正解: %q を使用
char *sql_correct = sqlite3_mprintf("SELECT * FROM users WHERE name = '%q';", user_input);
// 生成されるSQL: SELECT * FROM users WHERE name = 'O''Malley'; <- 正しい

トラブルシューティング:

• sqlite3_mprintf()などで生成されたSQL文字列をログに出力し、実際にどのようなSQL文が生成されているかを検証します。エスケープが正しく行われているかを確認しましょう。
• SQL文を生成する部分を注意深く確認し、ユーザー入力や動的に生成される文字列をSQLリテラルとして扱う必要がある場合は、必ず%qまたは%Qを使用しているかを確認します。

%qの二重エスケープ

エラーの症状: クエリが結果を返さない、または予期しない結果を返すことがあります。SQL構文エラーにはならないため、原因特定が難しい場合があります。

原因: 既にエスケープ済みの文字列に対して、再度%qを適用してしまうと、シングルクォートが二重にエスケープ（''''のように）されてしまい、SQLが正しいリテラルとして認識できなくなります。

例:

char *already_escaped = "O''Malley"; // 既にエスケープされている
// 誤り: 二重エスケープ
char *sql_error = sqlite3_mprintf("INSERT INTO users (name) VALUES ('%q')", already_escaped);
// 生成されるSQL: INSERT INTO users (name) VALUES ('O''''Malley') <- 誤り

// 正解: `%s`を使用するか、最初からエスケープされていない文字列を使う
char *sql_correct = sqlite3_mprintf("INSERT INTO users (name) VALUES ('%s')", already_escaped);
// または
// char *user_input = "O'Malley";
// char *sql_correct = sqlite3_mprintf("INSERT INTO users (name) VALUES ('%q')", user_input);

トラブルシューティング:

• %qの目的は「文字列をSQLリテラルとして安全に変換すること」であり、すでにリテラル形式になっている文字列には使用しないようにします。
• %qを使用する際は、その入力が既にエスケープされていない生の文字列であることを確認します。

%qと%Qの混同

エラーの症状: SQL構文エラーが発生したり、文字列リテラルのクォートが不足したり、余計に付与されたりします。

原因: %qは文字列の外側にシングルクォートを追加しないのに対し、%Qは自動的に追加します。この違いを理解せずに混同すると、問題が発生します。

例:

char *user_input = "Value";

// 誤り: %q を使用しているのに、外側にシングルクォートを付け忘れている
char *sql_error_q = sqlite3_mprintf("INSERT INTO settings (key, value) VALUES ('my_key', %q)", user_input);
// 生成されるSQL: INSERT INTO settings (key, value) VALUES ('my_key', Value) <- 'Value' ではなく Value となり、構文エラーまたは数値と解釈される

// 誤り: %Q を使用しているのに、外側をシングルクォートで囲んでいる
char *sql_error_Q = sqlite3_mprintf("INSERT INTO settings (key, value) VALUES ('my_key', '%Q')", user_input);
// 生成されるSQL: INSERT INTO settings (key, value) VALUES ('my_key', ''Value'') <- 余計なシングルクォート

// 正解: %q を使うなら外側を囲む
char *sql_correct_q = sqlite3_mprintf("INSERT INTO settings (key, value) VALUES ('my_key', '%q')", user_input);
// 生成されるSQL: INSERT INTO settings (key, value) VALUES ('my_key', 'Value')

// 正解: %Q を使うなら外側を囲まない
char *sql_correct_Q = sqlite3_mprintf("INSERT INTO settings (key, value) VALUES ('my_key', %Q)", user_input);
// 生成されるSQL: INSERT INTO settings (key, value) VALUES ('my_key', 'Value')

トラブルシューティング:

• %Qを使用する場合は、SQL文側でシングルクォートで囲まない（例: %Q）。また、NULL値がNULL（文字列ではなくSQLのNULLキーワード）になることに注意します。
• %qを使用する場合は、必ずSQL文側でシングルクォートで囲む（例: '%q'）。

sqlite3_free()によるメモリ解放忘れ

エラーの症状: アプリケーションのメモリ使用量が増加し続け、最終的にメモリ不足エラーが発生します（メモリリーク）。

原因: sqlite3_mprintf()やsqlite3_vmprintf()のような関数は、動的にメモリを割り当ててSQL文字列を生成します。この割り当てられたメモリは、使用後にsqlite3_free()を呼び出して解放する必要があります。解放を忘れると、メモリリークが発生します。

例:

char *user_input = "Test String";
char *sql_stmt = sqlite3_mprintf("INSERT INTO my_table (data) VALUES ('%q')", user_input);

// ... sql_stmt を使用した処理 ...

// 誤り: メモリ解放を忘れている
// sqlite3_free(sql_stmt); がない！

トラブルシューティング:

• メモリリーク検出ツール（Valgrindなど）を使用して、実行中にメモリリークが発生していないかを確認します。
• sqlite3_mprintf()やsqlite3_vmprintf()で生成された文字列ポインタは、必ず使い終わったらsqlite3_free()で解放します。

• エラーコードの確認: SQLite API関数がエラーを返した場合、そのエラーコード（sqlite3_errcode()）やエラーメッセージ（sqlite3_errmsg()）を確認し、具体的な問題の原因を特定します。

• プリペアドステートメントの検討: %qは便利ですが、より安全で推奨される方法は、プリペアドステートメント（sqlite3_prepare_v2()とsqlite3_bind_text()など）を使用することです。これにより、ユーザー入力がデータとして処理され、SQLコードとして実行されるのを防ぎます。SQLインジェクション対策の観点からも、プリペアドステートメントは非常に強力です。

  // プリペアドステートメントの例
  sqlite3_stmt *stmt;
  const char *sql = "INSERT INTO users (name) VALUES (?);";
  sqlite3_prepare_v2(db, sql, -1, &stmt, NULL);
  sqlite3_bind_text(stmt, 1, user_input, -1, SQLITE_TRANSIENT);
  sqlite3_step(stmt);
  sqlite3_finalize(stmt);
  

  プリペアドステートメントは、SQL文の再利用性、パフォーマンス向上、そして最も重要なSQLインジェクション対策に貢献します。

• ログ出力の活用: sqlite3_mprintfなどで生成された最終的なSQL文を、実際にデータベースに渡す前にログに出力し、構文が正しいか、エスケープが意図通りに行われているかを目視で確認するのが最も効果的なデバッグ方法です。

---

%qは主にSQLiteの拡張APIであるsqlite3_mprintf()やsqlite3_vmprintf()関数で使用されます。これらの関数は、C標準ライブラリのprintf()のようにフォーマットされた文字列を生成しますが、SQLite特有の機能（例えば%qや%Q）を提供し、さらにメモリをSQLite自身が管理するため、sqlite3_free()で解放する必要があります。

%qの基本的な使い方

%qは、入力文字列中のシングルクォート（'）をSQLのエスケープシーケンス（''）に変換します。しかし、結果の文字列をシングルクォートで囲まないため、呼び出し側で手動で囲む必要があります。

例1: 基本的な文字列のエスケープ

#include <stdio.h>
#include <sqlite3.h> // SQLiteライブラリをインクルード

int main() {
    char *user_input1 = "Alice";
    char *user_input2 = "O'Malley"; // シングルクォートを含む文字列

    // %q を使ってSQL文字列リテラルを生成
    // 注意: '%q' のように外側をシングルクォートで囲む必要がある
    char *sql_stmt1 = sqlite3_mprintf("INSERT INTO users (name) VALUES ('%q');", user_input1);
    char *sql_stmt2 = sqlite3_mprintf("INSERT INTO users (name) VALUES ('%q');", user_input2);

    if (sql_stmt1) {
        printf("SQL 1: %s\n", sql_stmt1);
        // 出力例: SQL 1: INSERT INTO users (name) VALUES ('Alice');
        sqlite3_free(sql_stmt1); // メモリを解放
    }
    if (sql_stmt2) {
        printf("SQL 2: %s\n", sql_stmt2);
        // 出力例: SQL 2: INSERT INTO users (name) VALUES ('O''Malley');
        sqlite3_free(sql_stmt2); // メモリを解放
    }

    return 0;
}

実行結果の解説:

• user_input2 (O'Malley) の場合、%qはシングルクォートをダブルシングルクォート（''）にエスケープし、O''MalleyとしてSQL文に挿入します。これにより、SQLパーサーはこれを単一の文字列リテラルとして正しく解釈します。
• user_input1 (Alice) の場合、%qは変更せずに文字列を挿入します。

%Qとの比較

%Qは%qと似ていますが、以下の点が異なります。

1. 入力文字列中のシングルクォートをエスケープします。
2. 結果の文字列を自動的にシングルクォートで囲みます。
3. 入力がNULLポインタの場合、結果はSQLのキーワードNULL（文字列リテラルとしての'NULL'ではない）になります。

例2: %Qの使用と%qとの比較

#include <stdio.h>
#include <sqlite3.h>

int main() {
    char *user_input1 = "Bob";
    char *user_input2 = "D'Angelo";
    char *user_input3 = NULL; // NULLポインタ

    // %q を使用する場合 (外側を ' で囲む必要あり)
    char *sql_q1 = sqlite3_mprintf("SELECT %q;", user_input1);
    char *sql_q2 = sqlite3_mprintf("SELECT %q;", user_input2);
    char *sql_q3 = sqlite3_mprintf("SELECT %q;", user_input3); // NULLの場合の挙動

    // %Q を使用する場合 (外側を ' で囲む必要なし)
    char *sql_Q1 = sqlite3_mprintf("SELECT %Q;", user_input1);
    char *sql_Q2 = sqlite3_mprintf("SELECT %Q;", user_input2);
    char *sql_Q3 = sqlite3_mprintf("SELECT %Q;", user_input3); // NULLの場合の挙動

    if (sql_q1) { printf("%%q (1): %s\n", sql_q1); sqlite3_free(sql_q1); }
    if (sql_q2) { printf("%%q (2): %s\n", sql_q2); sqlite3_free(sql_q2); }
    if (sql_q3) { printf("%%q (3): %s\n", sql_q3); sqlite3_free(sql_q3); } // NULLの場合、(null)または空文字列となることが多い

    printf("---\n");

    if (sql_Q1) { printf("%%Q (1): %s\n", sql_Q1); sqlite3_free(sql_Q1); }
    if (sql_Q2) { printf("%%Q (2): %s\n", sql_Q2); sqlite3_free(sql_Q2); }
    if (sql_Q3) { printf("%%Q (3): %s\n", sql_Q3); sqlite3_free(sql_Q3); }

    return 0;
}

実行結果例:

%q (1): SELECT Bob;
%q (2): SELECT D''Angelo;
%q (3): SELECT ;  // または SELECT (null); 環境による

---
%Q (1): SELECT 'Bob';
%Q (2): SELECT 'D''Angelo';
%Q (3): SELECT NULL;

解説:

• %Qは文字列をエスケープし、自動的にシングルクォートで囲みます。user_input3がNULLの場合、SQLのNULLキーワードに変換されます。
• %qは文字列をエスケープするだけで、シングルクォートで囲みません。user_input3がNULLの場合、結果は空文字列またはNULL文字列（C言語のNULLポインタをprintfした場合の挙動）になる可能性があります。

SQLインジェクション対策としての利用

%qや%Qは、SQLインジェクション対策に役立ちます。悪意のあるユーザー入力がSQL文の一部として実行されるのを防ぎます。

例3: SQLインジェクションを防ぐ（%qの利用）

#include <stdio.h>
#include <sqlite3.h>

int main() {
    sqlite3 *db;
    char *err_msg = 0;
    int rc;

    // データベースを開く
    rc = sqlite3_open(":memory:", &db);
    if (rc != SQLITE_OK) {
        fprintf(stderr, "Cannot open database: %s\n", sqlite3_errmsg(db));
        return 1;
    }

    // テーブル作成
    const char *sql_create_table = "CREATE TABLE users (id INTEGER PRIMARY KEY, username TEXT);";
    rc = sqlite3_exec(db, sql_create_table, 0, 0, &err_msg);
    if (rc != SQLITE_OK) {
        fprintf(stderr, "SQL error: %s\n", err_msg);
        sqlite3_free(err_msg);
        sqlite3_close(db);
        return 1;
    }

    // 通常のユーザー名
    char *username1 = "john_doe";
    // 悪意のあるユーザー名 (SQLインジェクションを試みる)
    char *username2 = "admin'; DROP TABLE users; --";

    // %q を使用して安全に挿入
    char *sql_insert1 = sqlite3_mprintf("INSERT INTO users (username) VALUES ('%q');", username1);
    char *sql_insert2 = sqlite3_mprintf("INSERT INTO users (username) VALUES ('%q');", username2);

    if (sql_insert1) {
        printf("Executing SQL (safe 1): %s\n", sql_insert1);
        rc = sqlite3_exec(db, sql_insert1, 0, 0, &err_msg);
        if (rc != SQLITE_OK) {
            fprintf(stderr, "SQL error: %s\n", err_msg);
            sqlite3_free(err_msg);
        }
        sqlite3_free(sql_insert1);
    }

    if (sql_insert2) {
        printf("Executing SQL (safe 2): %s\n", sql_insert2);
        rc = sqlite3_exec(db, sql_insert2, 0, 0, &err_msg);
        if (rc != SQLITE_OK) {
            fprintf(stderr, "SQL error: %s\n", err_msg);
            sqlite3_free(err_msg);
        }
        sqlite3_free(sql_insert2);
    }

    // 挿入されたデータを確認
    printf("\n--- Users after insertion ---\n");
    sqlite3_stmt *stmt;
    const char *sql_select = "SELECT id, username FROM users;";
    sqlite3_prepare_v2(db, sql_select, -1, &stmt, NULL);
    while (sqlite3_step(stmt) == SQLITE_ROW) {
        printf("ID: %d, Username: %s\n",
               sqlite3_column_int(stmt, 0),
               sqlite3_column_text(stmt, 1));
    }
    sqlite3_finalize(stmt);

    sqlite3_close(db);
    return 0;
}

実行結果の解説:

Executing SQL (safe 1): INSERT INTO users (username) VALUES ('john_doe');
Executing SQL (safe 2): INSERT INTO users (username) VALUES ('admin''; DROP TABLE users; --');

--- Users after insertion ---
ID: 1, Username: john_doe
ID: 2, Username: admin'; DROP TABLE users; --

上記の結果からわかるように、admin'; DROP TABLE users; --という悪意のある文字列は、%qによってエスケープされ、単なるデータとして挿入されます。テーブルが削除されることはありません。これがSQLインジェクション対策としての%qの役割です。

重要な注意点：プリペアドステートメントの利用を推奨

%qや%Qは便利ですが、SQLiteでSQLインジェクションを安全かつ効率的に防ぐための最も推奨される方法は、プリペアドステートメントとバインドパラメータを使用することです。

プリペアドステートメントの利点:

• 明確: コードが読みやすくなり、意図が明確になります。
• 効率的: 同じSQL文を複数回実行する場合、パースと最適化のオーバーヘッドを削減できます。
• 安全: データとSQLコードが完全に分離されるため、SQLインジェクションのリスクがなくなります。

例4: プリペアドステートメントとバインドパラメータによる安全な挿入

#include <stdio.h>
#include <sqlite3.h>

int main() {
    sqlite3 *db;
    char *err_msg = 0;
    int rc;

    rc = sqlite3_open(":memory:", &db);
    if (rc != SQLITE_OK) {
        fprintf(stderr, "Cannot open database: %s\n", sqlite3_errmsg(db));
        return 1;
    }

    const char *sql_create_table = "CREATE TABLE users (id INTEGER PRIMARY KEY, username TEXT);";
    rc = sqlite3_exec(db, sql_create_table, 0, 0, &err_msg);
    if (rc != SQLITE_OK) {
        fprintf(stderr, "SQL error: %s\n", err_msg);
        sqlite3_free(err_msg);
        sqlite3_close(db);
        return 1;
    }

    // 悪意のあるユーザー名
    char *username_malicious = "admin'; DROP TABLE users; --";

    // プリペアドステートメントのSQL文 (プレースホルダ '?' を使用)
    const char *sql_insert_prepared = "INSERT INTO users (username) VALUES (?);";
    sqlite3_stmt *stmt;

    // ステートメントを準備
    rc = sqlite3_prepare_v2(db, sql_insert_prepared, -1, &stmt, NULL);
    if (rc != SQLITE_OK) {
        fprintf(stderr, "Failed to prepare statement: %s\n", sqlite3_errmsg(db));
        sqlite3_close(db);
        return 1;
    }

    // データをバインド
    // 1番目のプレースホルダに username_malicious をテキストとしてバインド
    // SQLITE_TRANSIENT は、文字列のコピーを作成することを示す
    sqlite3_bind_text(stmt, 1, username_malicious, -1, SQLITE_TRANSIENT);

    // ステートメントを実行
    printf("Executing prepared statement with malicious input.\n");
    rc = sqlite3_step(stmt);
    if (rc != SQLITE_DONE) {
        fprintf(stderr, "Execution failed: %s\n", sqlite3_errmsg(db));
    }

    // ステートメントをリセットして再利用するか、またはファイナライズ
    sqlite3_finalize(stmt); // ここでメモリを解放

    // 挿入されたデータを確認
    printf("\n--- Users after prepared statement insertion ---\n");
    sqlite3_prepare_v2(db, "SELECT id, username FROM users;", -1, &stmt, NULL);
    while (sqlite3_step(stmt) == SQLITE_ROW) {
        printf("ID: %d, Username: %s\n",
               sqlite3_column_int(stmt, 0),
               sqlite3_column_text(stmt, 1));
    }
    sqlite3_finalize(stmt);

    sqlite3_close(db);
    return 0;
}

この例でも、admin'; DROP TABLE users; --という文字列は安全にデータベースにデータとして挿入され、SQLインジェクションは発生しません。

%qは特定のシナリオ（例えば、複雑な動的SQLを生成するが、プリペアドステートメントでは表現しにくい場合など）で役立つツールですが、セキュリティと効率性の観点から、可能な限りプリペアドステートメントの使用を検討することが重要です。 SQLiteの%qは、主にC言語APIのsqlite3_mprintf()関数や、SQL関数としてのPRINTF()で使用されます。ここでは、C言語APIを使った例を中心に説明します。

C言語APIでの %q の使用例

C言語でSQLiteを扱う場合、sqlite3_mprintf()関数は、C標準ライブラリのprintf()と同様にフォーマットされた文字列を生成しますが、SQLite特有の書式指定子（%q, %Q, %wなど）をサポートしています。sqlite3_mprintf()によって生成された文字列は、使用後にsqlite3_free()で解放する必要がある点に注意してください。

例1: 基本的な %q の使用

この例では、ユーザーが入力する可能性のある、シングルクォートを含む文字列を安全にSQLに埋め込みます。

#include <stdio.h>
#include <sqlite3.h> // SQLiteのC言語APIを使用するために必要

int main() {
    char *user_input = "O'Malley's Bar & Grill";
    char *sql_query = NULL; // 生成されるSQL文字列を格納するポインタ

    // %q を使用してSQL文字列を生成
    // 注意: %q は文字列の外側にシングルクォートを追加しないため、
    // SQL文側で ('%q') のように囲む必要があります。
    sql_query = sqlite3_mprintf("INSERT INTO establishments (name) VALUES ('%q');", user_input);

    if (sql_query == NULL) {
        fprintf(stderr, "Failed to allocate memory for SQL query.\n");
        return 1;
    }

    printf("Generated SQL (using %%q): %s\n", sql_query);

    // 生成されたSQL文字列を解放
    sqlite3_free(sql_query);

    // 比較のために、%s を使用した場合の例 (非推奨)
    char *sql_bad_query = sqlite3_mprintf("INSERT INTO establishments (name) VALUES ('%s');", user_input);
    if (sql_bad_query == NULL) {
        fprintf(stderr, "Failed to allocate memory for bad SQL query.\n");
        return 1;
    }
    printf("Generated SQL (using %%s, DANGER!): %s\n", sql_bad_query);
    sqlite3_free(sql_bad_query);

    return 0;
}

出力例:

Generated SQL (using %q): INSERT INTO establishments (name) VALUES ('O''Malley''s Bar & Grill');
Generated SQL (using %s, DANGER!): INSERT INTO establishments (name) VALUES ('O'Malley's Bar & Grill');

• %sを使った出力では、シングルクォートがエスケープされず、SQL構文エラーやSQLインジェクションの原因となります。
• %qを使った出力では、O'Malley's が O''Malley''s のようにシングルクォートが二重になっています。これにより、SQLエンジンはこれを単一の文字列リテラルとして正しく解釈します。

例2: %Q の使用（自動的にシングルクォートで囲む）

%Qは%qと同様にエスケープ処理を行いますが、生成される文字列を自動的にシングルクォートで囲みます。また、入力がNULLポインタの場合、SQLのNULLキーワードに変換されます。

#include <stdio.h>
#include <sqlite3.h>

int main() {
    char *user_input1 = "Dr. Jekyll & Mr. Hyde";
    char *user_input2 = NULL; // NULL ポインタの例
    char *sql_query_Q1 = NULL;
    char *sql_query_Q2 = NULL;

    // %Q を使用してSQL文字列を生成 (自動的にシングルクォートで囲まれる)
    sql_query_Q1 = sqlite3_mprintf("INSERT INTO books (title) VALUES (%Q);", user_input1);
    if (sql_query_Q1 == NULL) {
        fprintf(stderr, "Failed to allocate memory for SQL query Q1.\n");
        return 1;
    }
    printf("Generated SQL (using %%Q for non-NULL): %s\n", sql_query_Q1);
    sqlite3_free(sql_query_Q1);

    // NULL ポインタを %Q で処理した場合
    sql_query_Q2 = sqlite3_mprintf("INSERT INTO books (title) VALUES (%Q);", user_input2);
    if (sql_query_Q2 == NULL) {
        fprintf(stderr, "Failed to allocate memory for SQL query Q2.\n");
        return 1;
    }
    printf("Generated SQL (using %%Q for NULL): %s\n", sql_query_Q2);
    sqlite3_free(sql_query_Q2);

    return 0;
}

出力例:

Generated SQL (using %Q for non-NULL): INSERT INTO books (title) VALUES ('Dr. Jekyll & Mr. Hyde');
Generated SQL (using %Q for NULL): INSERT INTO books (title) VALUES (NULL);

• NULLポインタを入力した場合、NULLというSQLキーワードに変換されています。これは、INSERT文などでNULL値をそのままデータベースに挿入したい場合に便利です。
• %Qを使った場合、'Dr. Jekyll & Mr. Hyde' のように、自動的にシングルクォートで囲まれています。

SQLiteは、SQL文の中で使用できる組み込みのPRINTF()関数も提供しており、ここでも%qを利用できます。これは、主にSQLレベルでの文字列操作やデバッグに役立ちます。

SQLiteシェルでの例:

-- 基本的な %q の使用
SELECT PRINTF('Hello, %q!', 'World');
-- 結果: Hello, World!

-- シングルクォートを含む文字列の例
SELECT PRINTF('This is %q and that is %q.', 'O''Reilly', 'It''s a test');
-- 結果: This is O'''Reilly and that is It'''s a test.
-- ここで注意すべきは、SQL関数としてのPRINTF()は、
-- 引数として渡された文字列自体がすでにSQLリテラルとして
-- エスケープされている必要があるため、
-- ソースコードの文字列リテラル内でシングルクォートをエスケープ (O''Reilly) しています。
-- そして、PRINTFの%qは、そのエスケープ済み文字列に対してさらにエスケープ処理を行います。
-- 結果として O''''Reilly となるはずが、SQLiteのPRINTF関数では、
-- 内部的に安全な文字列として解釈され、そのまま表示されるようです。
-- 通常、C言語APIのsqlite3_mprintf()を使う文脈で%qがより頻繁に利用されます。

-- C言語APIの %q と同様の動作を期待するなら、引数をエスケープせずに渡す場合
-- しかし、SQL関数としてのPRINTFは、引数もSQLリテラルとして解釈されるため、
-- 通常の文字列をそのまま渡すことはできません。
-- 例えば、以下のようにすると、エラーになるか意図しない動作になります。
-- SELECT PRINTF('My name is %q.', 'D'Arcy'); -- エラーまたは意図しない結果
-- このため、SQL関数としてのPRINTF()の%qは、C言語APIの%qとは少し異なる使い方が求められます。
-- 実際には、SQL関数としてのPRINTF()でユーザー入力を安全にエスケープすることは稀で、
-- 主に文字列の結合や整形に使われます。

-- %Q の使用例
SELECT PRINTF('The value is %Q.', 'Hello');
-- 結果: The value is 'Hello'.

SELECT PRINTF('The value is %Q.', NULL);
-- 結果: The value is NULL.

SQL関数としてのPRINTF()で%qを使う場合、引数として渡す文字列は、SQLの通常の文字列リテラルの規則に従ってエスケープされている必要があります（例: O'Reillyを渡したい場合は'O''Reilly'と書く）。その上で%qは、その文字列中のシングルクォートをさらにエスケープします。このため、C言語APIのsqlite3_mprintf()で生文字列を安全にSQLリテラルに変換する用途とは、少しニュアンスが異なります。

通常、動的にSQL文を構築し、ユーザー入力を安全に埋め込む場合は、C言語APIのsqlite3_mprintf()と%qまたは%Qを使用するか、より推奨される方法としてプリペアドステートメント（sqlite3_prepare_v2()とsqlite3_bind_text()）を使用します。 プリペアドステートメントは、SQLインジェクション攻撃を根本的に防ぐ最も安全な方法です。

---

SQLiteで文字列をSQL文に安全に組み込む際、%qは便利な書式指定子ですが、それ以外にもいくつかの代替方法があります。特に、プリペアドステートメントは最も推奨される方法であり、セキュリティとパフォーマンスの両面で優れています。

プリペアドステートメントとバインドパラメータ (最も推奨)

これが、%qを使うよりもはるかに推奨される方法です。プリペアドステートメントは、SQLインジェクション攻撃を防ぐ最も効果的な手段であり、SQL文の再利用によるパフォーマンス向上も期待できます。

仕組み:

1. SQLテンプレートの準備: まず、SQL文のテンプレートを作成し、値を埋め込む箇所を?（疑問符）や:name（名前付きパラメータ）などのプレースホルダで指定します。
2. ステートメントの準備: sqlite3_prepare_v2()関数を使って、このSQLテンプレートをSQLiteデータベースエンジンに「準備」させます。これにより、SQL文が一度解析され、実行計画が立てられます。
3. パラメータのバインド: sqlite3_bind_text()などの関数を使って、実際の値をプレースホルダにバインドします。このとき、SQLiteは値のデータ型を認識し、適切なエスケープ処理を自動的に行います。文字列はデータとして扱われるため、SQLコードとして解釈されることはありません。
4. ステートメントの実行: sqlite3_step()関数でSQLを実行します。
5. ステートメントの解放: sqlite3_finalize()関数でリソースを解放します。

C言語での例:

#include <sqlite3.h>
#include <stdio.h>

int main() {
    sqlite3 *db;
    sqlite3_stmt *stmt; // プリペアドステートメントのポインタ
    char *err_msg = 0;
    int rc;

    rc = sqlite3_open(":memory:", &db); // インメモリデータベースを開く

    if (rc != SQLITE_OK) {
        fprintf(stderr, "Cannot open database: %s\n", sqlite3_errmsg(db));
        return 1;
    }

    // テーブルの作成
    const char *create_table_sql = "CREATE TABLE users (id INTEGER PRIMARY KEY, name TEXT);";
    rc = sqlite3_exec(db, create_table_sql, 0, 0, &err_msg);
    if (rc != SQLITE_OK) {
        fprintf(stderr, "SQL error: %s\n", err_msg);
        sqlite3_free(err_msg);
        sqlite3_close(db);
        return 1;
    }

    // ユーザー入力の文字列 (シングルクォートを含む)
    const char *user_name = "O'Reilly";

    // 1. SQLテンプレートの準備 (プレースホルダに ?)
    const char *insert_sql = "INSERT INTO users (name) VALUES (?);";
    rc = sqlite3_prepare_v2(db, insert_sql, -1, &stmt, 0); // -1 はSQL文字列の長さを自動検出

    if (rc != SQLITE_OK) {
        fprintf(stderr, "Failed to prepare statement: %s\n", sqlite3_errmsg(db));
        sqlite3_close(db);
        return 1;
    }

    // 2. パラメータのバインド
    // 1番目のプレースホルダ (?) に user_name をテキストとしてバインド
    // SQLITE_TRANSIENT は、SQLiteが内部で文字列のコピーを作成することを示す
    rc = sqlite3_bind_text(stmt, 1, user_name, -1, SQLITE_TRANSIENT); 

    if (rc != SQLITE_OK) {
        fprintf(stderr, "Failed to bind parameter: %s\n", sqlite3_errmsg(db));
        sqlite3_finalize(stmt); // ステートメントを解放
        sqlite3_close(db);
        return 1;
    }

    // 3. ステートメントの実行
    rc = sqlite3_step(stmt);

    if (rc != SQLITE_DONE) { // INSERT, UPDATE, DELETE は SQLITE_DONE を返す
        fprintf(stderr, "Execution failed: %s\n", sqlite3_errmsg(db));
    } else {
        printf("Successfully inserted: %s\n", user_name);
    }

    // 4. ステートメントの解放
    sqlite3_finalize(stmt);

    sqlite3_close(db);
    return 0;
}

利点:

• 可読性: SQL文とデータが分離され、コードが読みやすくなります。
• パフォーマンス: 同じSQL文を繰り返し実行する場合、毎回解析し直す必要がないため高速です。
• SQLインジェクション対策: バインドされたデータは、決してSQLコードとして解釈されません。

%Q 書式指定子 (%qのバリエーション)

%qと同様にsqlite3_mprintf()で使用しますが、%Qは自動的に生成される文字列をシングルクォートで囲み、またNULLポインタをSQLのNULLキーワードに変換します。

C言語での例:

#include <sqlite3.h>
#include <stdio.h>

int main() {
    char *user_input1 = "Dr. Livingstone, I presume?";
    char *user_input2 = NULL; // NULL値の例
    char *sql_query1 = NULL;
    char *sql_query2 = NULL;

    // `%Q` を使用 (自動的にシングルクォートで囲まれる)
    sql_query1 = sqlite3_mprintf("INSERT INTO messages (text) VALUES (%Q);", user_input1);
    if (sql_query1) {
        printf("Generated SQL (non-NULL with %%Q): %s\n", sql_query1);
        sqlite3_free(sql_query1);
    }

    // NULL値を `%Q` で処理
    sql_query2 = sqlite3_mprintf("INSERT INTO messages (text) VALUES (%Q);", user_input2);
    if (sql_query2) {
        printf("Generated SQL (NULL with %%Q): %s\n", sql_query2);
        sqlite3_free(sql_query2);
    }

    return 0;
}

出力例:

Generated SQL (non-NULL with %Q): INSERT INTO messages (text) VALUES ('Dr. Livingstone, I presume?');
Generated SQL (NULL with %Q): INSERT INTO messages (text) VALUES (NULL);

利点:

• NULL値を適切にSQLのNULLキーワードに変換してくれます。
• %qに比べて、SQL文で明示的にシングルクォートで囲む手間が省けます。

欠点:

• プリペアドステートメントほどの安全性（SQLインジェクション耐性）やパフォーマンス向上はありません。動的にSQL文を生成する必要がある場合にのみ検討すべきです。

アプリケーションレベルでの手動エスケープ (非推奨)

これは、自分で文字列中のシングルクォートを二重にする（' → ''）など、SQLのエスケープルールを手動で実装する方法です。

C言語での概念的な例:

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

// 非常に簡略化された手動エスケープ関数 (完全なものではない)
char *manual_escape(const char *input) {
    if (!input) return NULL;
    size_t len = strlen(input);
    size_t escaped_len = len;
    for (size_t i = 0; i < len; ++i) {
        if (input[i] == '\'') {
            escaped_len++; // シングルクォートごとに1文字増える
        }
    }

    char *output = (char *)malloc(escaped_len + 1);
    if (!output) return NULL;

    size_t j = 0;
    for (size_t i = 0; i < len; ++i) {
        if (input[i] == '\'') {
            output[j++] = '\'';
            output[j++] = '\'';
        } else {
            output[j++] = input[i];
        }
    }
    output[j] = '\0';
    return output;
}

int main() {
    char *user_input = "Mc'Donalds";
    char *escaped_input = manual_escape(user_input);
    char *sql_query = NULL;

    if (escaped_input) {
        // 通常の printf を使用して結合
        // malloc の代わりに snprintf + 動的割り当て などが一般的
        int required_len = snprintf(NULL, 0, "INSERT INTO restaurants (name) VALUES ('%s');", escaped_input);
        sql_query = (char*)malloc(required_len + 1);
        if (sql_query) {
            sprintf(sql_query, "INSERT INTO restaurants (name) VALUES ('%s');", escaped_input);
            printf("Generated SQL (manual escape): %s\n", sql_query);
            free(sql_query);
        }
        free(escaped_input); // 手動エスケープで割り当てたメモリを解放
    }

    return 0;
}

利点:

• 特別なSQLite関数に依存しない。

欠点:

• パフォーマンス: 各文字列に対して手動でエスケープ処理を行うオーバーヘッドがあります。
• メンテナンス性: コードが複雑になり、保守が難しくなります。
• エラーの可能性: エスケープ処理を完璧に実装するのは非常に困難で、バグが入り込みやすいです。
• 重大なセキュリティリスク: SQLインジェクションに対する脆弱性が非常に高くなります。SQLのエスケープルールは複雑で、単にシングルクォートを二重にするだけでは不十分な場合が多いです（例: 文字コード、NULLバイトなど）。

• 手動エスケープは、絶対に避けるべきです。セキュリティリスクと実装の複雑さから、現代のアプリケーション開発では全く推奨されません。
• %qや%Qは、開発やデバッグの目的で、手軽に動的なSQLを生成したい場合に役立ちます。ただし、これらを本番環境の、特にユーザー入力からSQLを構築するような場面で使うことは推奨されません。あくまで、プリペアドステートメントを使用できない特別な状況での代替手段として考えるべきです。
• 最も安全で推奨されるのは、常に プリペアドステートメントとバインドパラメータ を使用することです。 これが、SQLインジェクションからアプリケーションを保護する上で最も堅牢なアプローチです。