J'échapperais également aux commentaires (double tiret)
--
Lorsque vous exécutez une requête SQL, vous devez nettoyer vos chaînes ou les utilisateurs peuvent exécuter du SQL malveillant sur votre site Web.
J'ai généralement juste une fonction escape_string(blah), qui :
) par des doubles échappements (\
).'
) par un guillemet simple échappé ('
). Est-ce suffisant ? Y a-t-il un trou dans mon code ? Existe-t-il une bibliothèque qui peut le faire rapidement et de manière fiable pour moi ?
J'aimerais voir des solutions élégantes en Perl, Java et PHP.
J'échapperais également aux commentaires (double tiret)
--
Il vaut mieux utiliser des instructions préparées avec des espaces réservés. Utilisez-vous PHP, .NET... de toute façon, les instructions préparées fourniront plus de sécurité, mais je pourrais fournir un exemple.
Utilisez des requêtes préparées/paramétrées !
l'API MySQL C a son propre mysql_escape_string()
. L'utiliser ou son équivalent serait préférable.