Le meilleur moyen d'échapper aux chaînes pour les insertions SQL?
-
08-07-2019 - |
Question
Quel est le meilleur moyen d'échapper aux chaînes pour les insertions SQL, les mises à jour?
Je souhaite autoriser les caractères spéciaux, notamment "et". Le meilleur moyen de rechercher et de remplacer chaque chaîne avant de l’utiliser dans une instruction insert?
Merci
Duplicate de: Meilleur moyen de défense contre l'injection mysql et le cross site scripting
La solution
Vous devez utiliser des requêtes paramétrées (donc, par extension, une bibliothèque d'interface DB prenant en charge les requêtes paramétrées) afin que l'injection SQL ne puisse pas se produire.
Autres conseils
Si vous parlez de valeurs de données pour vos champs, le meilleur moyen consiste à utiliser mysql_real_escape_string () . (Certaines personnes aiment mysqli ; je ne peux pas le dire.) Si vous parlez de permettre à l'utilisateur requêtes soumises ... eh bien, espérons que vous n'en parlez pas.