Лучший способ избежать строк для вставки SQL?
Каков наилучший способ избежать строк для вставки SQL, обновления?
Я хочу разрешить специальные символы, включая 'и ". Является ли лучший способ поиска и замены каждой строки, прежде чем я буду использовать ее в операторе вставки?
Спасибо
Дубликат: лучший способ защиты от внедрения MySQL и межсайтового скриптинга
2 ответа
Вы должны использовать параметризованные запросы (например, библиотеку интерфейса БД, которая поддерживает параметризованные запросы), чтобы внедрение SQL не могло произойти.
Если вы говорите о значениях данных для ваших полей, то лучше всего использовать http://us.php.net/mysql_real_escape_string. (Некоторым людям нравится mysqli; не могу сказать, что я делаю.) Если вы говорите о разрешении пользовательских запросов... что ж, будем надеяться, что вы не говорите об этом.