Po wykonaniu zapytania SQL należy wyczyścić ciągi lub użytkownicy mogą wykonać złośliwy kod SQL w witrynie.Czego potrzebuję, aby uciec przed wysłaniem zapytania?
ja zwykle po prostu mieć funkcję escape_string (bla), która:
- zastępuje ucieczek (
\
) z podwójnymi ucieczek (\\
). - Zamienia pojedyncze cudzysłowy (
'
) z pojedynczą kwotowaną sekwencją (\'
).
Czy to wystarczy? Czy w moim kodzie jest dziura? Czy istnieje biblioteka, która może zrobić to szybko i niezawodnie dla mnie?
Chciałbym zobaczyć pełne wdzięku rozwiązania w języku Perl, Java i PHP.
coś musiało pójść nie tak w wyświetlaczu ukośniki w linii 'Zastępuje ucieczek() z podwójnymi ucieczek (\).' – bart