Лучший способ экранировать строки для sql-вставок?
https://stackoverflow.com/questions/633109
-
08-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Каков наилучший способ экранировать строки для sql inserts, обновлений?
Я хочу разрешить специальные символы, включая ' и ".Является ли лучший способ поиска и замены каждой строки, прежде чем я использую ее в инструкции insert?
Спасибо
Дубликат: Лучший способ защиты от внедрения mysql и межсайтового скриптинга
Решение
Вы должны использовать параметризованные запросы (то есть, в расширении, библиотеку интерфейса БД, которая поддерживает параметризованные запросы), чтобы не могла произойти SQL-инъекция.
Другие советы
Если вы говорите о значениях данных для ваших полей, то лучший способ - использовать mysql_real_escape_string() mysql_real_escape_string().(Некоторым людям нравится mysqli;не могу сказать, что знаю.) Если вы говорите о разрешении пользовательских запросов...что ж, будем надеяться, что ты говоришь не об этом.
