Que dois-je échapper lors de l'envoi d'une requête?

Je voudrais aussi échapper des commentaires (double tiret)

--

Une grande chose à utiliser en PHP est l' AOP . Il faut beaucoup de la conjecture hors de faire face à la sécurisation de votre SQL (et tous vos trucs SQL en général). Il prend en charge les commandes préparées, qui vont un long chemin vers contrant les attaques par injection SQL.

Une grande introduction sur PDO est inclus dans le livre L'anthologie PHP 101 Essential Astuces et conseils Hacks par Davey Shafik etc. 2e éd . Rend l' apprentissage un jeu d' enfant et est excellent comme référence. Je n'ai même pas penser à autre chose que la requête SQL réelle plus.

Dans la requête MySQL, lorsque vous utilisez LIKE, également vous assurer d'échapper aux caractères « _ » comme il est pas échappé par mysql_real_escape_string.

Pour référence, vérifier ici

Utilisez les commandes préparées.

l'API MySQL C dispose de son propre mysql_escape_string(). Son utilisation ou son équivalent serait le mieux.

Utiliser des requêtes préparées / paramétrées!

En PHP, j'utilise celui-ci et je vais apprécier tous les commentaires à ce sujet:

function quote_smart($valeur) 
{ 
    if (get_magic_quotes_gpc()) 
        $valeur = stripslashes($valeur); 

    if (!is_numeric($valeur)) 
        $valeur = mysql_real_escape_string($valeur); 

    return $valeur; 
}


$IdS = quote_smart($_POST['theID']); 
$sql = " 
SELECT * FROM Students 
WHERE IdStudent={$IdS}; 
";

A besoin d'un plus de vérification si un champ peut être NULL:

$picture = NULL;
$theidyouwant = 7;
$Name = 'WOOD';


if(is_null($picture)) 
    $p = 'NULL'; 
else
    $p = "'".quote_smart($picture)."'"; 

$IdS = quote_smart($theidyouwant);

$requete = "SELECT * FROM Students
    WHERE IdStudent={$IdS} AND
    PictureStudent={$p} AND
    NameStudent='{$Name}';
    ";

Ca y est en profiter! (Espérons que le message sera correctement envoyer des underscores et non & # 95;)

Vous êtes mieux d'utiliser les commandes préparées avec des espaces réservés. Est-ce que vous utilisez PHP, .NET ... De toute façon, les commandes préparées fournira plus de sécurité, mais je ne pouvais fournir un échantillon.

Quelle langue utilisent? Il semble que à peu près tous ont des fonctions intégrées d'échappement SQL qui serait préférable d'utiliser.

Par exemple, PHP a mysql_real_escape_string et addslashes .

Je ne sais pas si MySql prend en charge les requêtes paramétrées, le cas échéant, vous devriez faire un effort pour aller dans cette voie. Cela permettra d'assurer l'entrée des utilisateurs ne peut rien faire malveillant.

Sinon, certains « mauvais », en plus de ce que vous avez mentionné seraient-virgule (;) et commentaires (- et / * * /).