Lorsque vous exécutez une requête SQL, vous devez nettoyer vos chaînes ou les utilisateurs peuvent exécuter SQL malveillant sur votre site Web.
D'habitude, j'ai juste une fonction escape_string (bla), qui:
- (Échappements remplace
\
) avec double échappe (\\
). - Remplace les apostrophes (
'
) avec une seule citation échappé (\'
).
Est-ce suffisant? Y at-il un trou dans mon code? Y at-il une bibliothèque qui peut le faire rapidement et de manière fiable pour moi?
Je voudrais voir des solutions gracieuses en Perl, Java et PHP.