Как правильно экранировать переменные при отправке SQL-запроса?

При выполнении SQL запроса, вы должны очистить свои строки или пользователи могут выполнять вредоносный код SQL на ваш сайт.

я обычно просто функция escape_string(бла), которые:

  • Заменяет спасается () с двуспальной спасается ().
  • Заменяет в одинарные кавычки (') с бежал одиночная кавычка (').

адекватен? Есть ли дыра в моем коде? Есть библиотека, в которой это можно сделать быстро и надежно для меня?

хотелось бы увидеть изящные решения в Perl, Java и PHP.

Найдено 11 ответ:

What do I need to escape when sending a (My)SQL query?

http://stackoverflow.com/questions/2688/what-do-i-need-to-escape-when-sending-a-mysql-query

Посмотреть решение →