SQL 인서트를위한 문자열을 피하는 가장 좋은 방법?

Question

SQL 인서트, 업데이트를위한 문자열을 피하는 가장 좋은 방법은 무엇입니까?

'and "를 포함한 특수 문자를 허용하고 싶습니다. 삽입 문에서 사용하기 전에 각 문자열을 검색하고 교체하는 가장 좋은 방법은 무엇입니까?

감사

복제 : MySQL 주입 및 크로스 사이트 스크립팅을 방어하는 가장 좋은 방법

Answer 1

SQL 주입이 발생할 수 없도록 매개 변수화 된 쿼리 (따라서 매개 변수화 된 쿼리를 지원하는 DB 인터페이스 라이브러리)를 사용해야합니다.

Answer 2

필드의 데이터 값에 대해 이야기하고 있다면 가장 좋은 방법은 사용하는 것입니다. mysql_real_escape_string (). (어떤 사람들은 좋아합니다 mysqli; 내가 말할 수 없다.) 사용자가 제출 한 쿼리를 허용하는 것에 대해 이야기하고 있다면 ... 글쎄, 당신이 그것에 대해 이야기하지 않기를 바랍니다.