Функции Escape гарантируют, что специальные символы (в основном кавычки), используемые диалектом SQL, экранированы, чтобы ваши вставки / обновления и т. Д. Работали.Все, что делает sqlite_escape_string - это экранирует одинарные кавычки.
Тогда есть существенная проблема, что кто-то может создать SQL-инъекцию.Поскольку вы используете v2, вы не можете использовать функции prepare и _bind (), которые защитили бы вас.
SQLite позволяет объединять команды, разделенные символом ';'так что здесь есть проблема.Я бы посоветовал вам начать с тщательной обработки параметров, используя либо вспомогательные функции, которые вы пишете, либо с помощью sprintf, и убедиться, что вы правильно вводите свои int, float и strings.
У вас должна быть возможность создать собственную функцию escapeэто "ускользает" от вещей, которые вы хотите остерегаться ... в особенности от точки с запятой, используя ... ESCAPE '\' в конце ваших запросов, при условии, что вы используете обратную косую черту в качестве escape-символа.
Тогда у вас есть проблема, когда кто-то намеренно вставляет вредоносный контент (XSS).Григор предоставил одно решение - используйте htmlentities () в своих строках.