Wenn Sie eine SQL-Abfrage ausführen, müssen Sie Ihre Zeichenfolgen bereinigen oder Benutzer können böswilliges SQL auf Ihrer Website ausführen.Was muss ich beim Senden einer Abfrage umgehen?
Ich habe in der Regel nur eine Funktion escape_string (bla), die:
- Ersetzt entkommt (
\
) mit Doppel entkommt (\\
). - Ersetzt einfache Anführungszeichen (
'
) durch ein gestrichenes einfaches Anführungszeichen (\'
).
Ist das ausreichend? Gibt es ein Loch in meinem Code? Gibt es eine Bibliothek, die das für mich schnell und zuverlässig macht?
Ich würde gerne anmutig Lösungen in Perl, Java und PHP sehen.
etwas muss in der Anzeige der Schrägstriche schief gelaufen, in der Zeile 'Ersetzt entkommt() mit Doppel entkommt (\).' – bart