Лучший способ экранировать строки для sql-вставок?
-
08-07-2019 - |
Вопрос
Каков наилучший способ экранировать строки для sql inserts, обновлений?
Я хочу разрешить специальные символы, включая ' и ".Является ли лучший способ поиска и замены каждой строки, прежде чем я использую ее в инструкции insert?
Спасибо
Дубликат: Лучший способ защиты от внедрения mysql и межсайтового скриптинга
Решение
Вы должны использовать параметризованные запросы (то есть, в расширении, библиотеку интерфейса БД, которая поддерживает параметризованные запросы), чтобы не могла произойти SQL-инъекция.
Другие советы
Если вы говорите о значениях данных для ваших полей, то лучший способ - использовать mysql_real_escape_string() mysql_real_escape_string().(Некоторым людям нравится mysqli;не могу сказать, что знаю.) Если вы говорите о разрешении пользовательских запросов...что ж, будем надеяться, что ты говоришь не об этом.