Es ist sicher in einer Datenbank, um einen Parameter zu verbergen, wenn ich ein einzelnes Zitat durch 2 in einem SQL String ersetzen? (' => '')Maskiert eine SQL-Param immer sicher, wenn mit zwei einfachen Anführungszeichen
So etwas:
sql = "select * from user where name = '" + input.replace ("'", " ''") + "'";
Ich glaube es ist! Berühre Holz oder wir sind alle verschraubt. Hier ist die fullest explanation Ich habe auf SQL-Maskierung gesehen. Offensichtlich sind es ids und dergleichen, die verwundbar sind, weil sie nicht eingeschlossen sind. Aber, um Himmels willen, benutze Parameter. Konstruiere dein SQL nicht so.
Sie wissen nicht, über Injektionen, aber ... Jemand Abwesenheit von Bind-Variablen verwenden können Ihre DB zu verlangsamen durch Gemeinschafts-Pool mit fast identischen Einweg- Aussagen füllen und zwingt hart Parsen usw.
Frage ist nicht klar, überhaupt. Bitte teilen Sie einige Beispieldaten und ein Beispiel, was machst du? – XING