Каков наилучший способ экранирования строк для SQL-вставок, обновлений?
Я хочу разрешить использование специальных символов, включая 'и ". Является ли наилучшим способом поиска и замены каждой строки перед использованием ее в операторе вставки?
Спасибо
Дубликат: Лучший способ защиты от внедрения MySQL и межсайтового скриптинга
Вы должны использовать параметризованные запросы (например, интерфейсную библиотеку БД, которая поддерживает параметризованные запросы), чтобы внедрение SQL не могло произойти.
Если вы говорите о значениях данных для ваших полей, то лучше всего использовать mysql_real_escape_string () . (Некоторым людям нравится mysqli ; не могу сказать, что я делаю.) Если вы говорите о разрешении пользовательских запросов ... хорошо, будем надеяться, что вы не говорите об этом.