Достаточно ли заменить все одинарные кавычки в операторе T-SQL на двойные кавычки для предотвращения инъекций?
У меня есть эта PHP-функция для экранирования пользовательского ввода, который затем выполняется напрямую.
<?php
function clean($input) {
return str_replace('\'', '\'\'', $input);
}
echo 'INSERT INTO Temp ([test]) VALUES (\'' .clean($_GET['test']). '\')';
Пример: $_GET['test'] равен 'test, он будет экранирован до '''test'.
Я знаю, я должен использовать подготовленные заявления, но я хочу знать, уязвимо ли это.