Melhor maneira de escapar cordas para inserções sql?
https://stackoverflow.com/questions/633109
-
08-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Qual é a melhor maneira de escapar cordas para inserções SQL, atualizações?
Eu quero permitir caracteres especiais, incluindo "e". É a melhor maneira de procurar e substituir cada corda antes de usá-lo em uma instrução insert?
Graças
Duplicar de: melhor maneira de defender contra injeção de mysql e cross site scripting
Solução
Você deve estar usando consultas parametrizadas (assim, por extensão, uma biblioteca de interface de banco de dados que suporta parametrizado consultas) para que a injeção de SQL não pode acontecer.
Outras dicas
Se você está falando de valores de dados para os seus campos, então a melhor maneira é usar mysql_real_escape_string () . (Algumas pessoas gostam mysqli ; não posso dizer que fazer.) Se você está falando sobre permitindo que o usuário consultas -submitted ... bem, vamos esperar que você não está falando sobre isso.
