Краткий ответ, нет, за исключением очень специфических определений «чистый». Прямо сейчас вы должны использовать решение для конкретного языка - для SQL просто используйте подготовленный оператор.
Более длинный ответ. В последнее время была проведена работа над автоматическими дезинфицирующими средствами для строк, в которых выясняется, как безопасно и правильно включать содержимое в виде простого текста в содержимое на других языках.
Существуют автоматические контекстные авто-экранирующие символы для HTML на языках шаблонов, таких как Soy , Go , вариант jQuery , cTemplates, clearsilver и, надеюсь, другие в ближайшее время.
Проводятся исследования по обобщению этого, чтобы его можно было легко распространить на другие языки. Одна идея, над которой я работаю, - это взять аннотированную грамматику, которая описывает целевой язык, такой как SQL, и выяснить, что нужно сделать для экранирования дыр, которые могут быть заполнены пользовательскими данными.
Учитывая грамматику, подобную приведенной ниже, которая включает аннотации, которые показывают, как структура данных отображается в подстроки на языке:
JSONValue := JSONNullLiteral
| JSONBooleanLiteral
| JSONObject
| JSONArray
| JSONString
| JSONNumber ;
JSONObject := @KeyValueMap ([{] JSONMemberList? [}]) ;
JSONMemberList := JSONMember ([,] JSONMemberList)? ;
JSONMember := @Key JSONString [:] @Value JSONValue ;
JSONNullLiteral := @ValueNull "null" ;
JSONBooleanLiteral := @ValueFalse "false" | @ValueTrue "true" ;
JSONArray := @List("[" (JSONValue ([,] JSONValue)*)? "]") ;
JSONString := @String ([\"] JSONStringCharacters? [\"]) ;
JSONNumber := @Number (Sign? (Mantissa Exponent? | Hex)) ;
JSONStringCharacters := JSONStringCharacter JSONStringCharacters? ;
JSONStringCharacter := @Char ([^\"\\\x00-\x1f])
| JSONEscapeSequence ;
JSONEscapeSequence := "\\" @Char [/\\\"]
| @Char{[\x08]} "\\b"
| @Char{[\x0c]} "\\f"
| @Char{[\x0a]} "\\n"
| @Char{[\x0d]} "\\r"
| @Char{[\x09]} "\\t"
| @Char ("\\u" @Scalar (hex hex hex hex)) ;
Mantissa := (Integer ([.] Fraction?) | [.] Fraction) ;
Exponent := [Ee] Sign? decimal+ ;
Integer := [0] | [1-9] [0=9]* ;
Fraction := [0-9]+ ;
Hex := [0] [Xx] hex+ ;
Sign := [+\-] ;
мы можем построить конечный автомат, как показано ниже:
, которая преобразует последовательности событий (start, start_object, start_key, символ 'x', ...) в инструкции, которые кодируют символы в буфер.
Из этого конечного автомата мы также можем генерировать общие следы инструкций, которые будут использоваться для генерации эффективного кода для кодировщиков, и, надеюсь, алгоритмы контекстного анализа, которые выясняют, какие кодировщики применять, когда.
Если это сработает, было бы легко включить в языки программирования общего назначения механизмы автоматического и безопасного составления контента на таких языках, как SQL, HTML и т. Д. С изменениями в определениях языков, чтобы execute_query мог найти Границы между указанным программистом контентом и внедренным контентом в execute_query("SELECT * FROM Table WHERE ID=$ID") и их использование для автоматического выхода из внедренного контента, мы можем заставить эту идиому работать так, как задумал программист.