¿La mejor manera de escapar de cadenas para inserciones sql?
-
08-07-2019 - |
Pregunta
¿Cuál es la mejor manera de escapar de cadenas para inserciones SQL, actualizaciones?
Quiero permitir caracteres especiales que incluyen 'y'. ¿Es la mejor manera de buscar y reemplazar cada cadena antes de usarla en una declaración de inserción?
Gracias
Duplicado de: La mejor manera de defender contra la inyección de MySQL y las secuencias de comandos de sitios cruzados
Solución
Debería utilizar consultas parametrizadas (por extensión, una biblioteca de interfaz de base de datos que admite consultas parametrizadas) para que la inyección SQL no pueda realizarse.
Otros consejos
Si está hablando de valores de datos para sus campos, entonces la mejor manera es usar mysql_real_escape_string () . (Algunas personas como mysqli ; no pueden decir que sí). Si está hablando de permitir al usuario consultas enviadas ... bueno, esperemos que no estés hablando de eso.