Автор Тема: Проверка ситаксиса SQL-запроса. (Прочитано 4004 раз)

Evgeny · « : 25 Ноября 2002, 19:16:25 »

Подскажите пожалуйста, как можно в "защитить" запрос от пользовательского ввода символов вроде \', " и пр.
Большое спасибо.

ThE0ReTiC · « **Ответ #1 :** 25 Ноября 2002, 20:03:50 »

addslashes()
mysql_escape_string()

Chs · « **Ответ #2 :** 25 Ноября 2002, 21:28:55 »

placeholders

Evgeny · « **Ответ #3 :** 28 Ноября 2002, 16:09:13 »

странно, но у меня SQL выдаёт ошибку при запросе:
select * from table1 where (field1 LIKE \'AAA\\\'BBB\')
БД у меня - Informix.
Чем же мне эту кавычку заменить?

AlieN · « **Ответ #4 :** 28 Ноября 2002, 16:30:49 »

Evgeny
Попробуй вот так
select * from table1 where field1 LIKE "AAA\\\'BBB"

Макс · « **Ответ #5 :** 28 Ноября 2002, 18:24:03 »

или вот так:
select * from table1 where (field1 LIKE \'AAA\'\'BBB\')

Evgeny · « **Ответ #6 :** 28 Ноября 2002, 18:57:08 »

AlieN

Цитировать

Попробуй вот так
select * from table1 where field1 LIKE "AAA\'BBB"

Это понятно, но ведь пользователь может ввести оба варианта кавычек

Ведь должна быть возможность как-то заменить этот символ. Кодом например, или специальной последовательностью символов...

Maniac · « **Ответ #7 :** 28 Ноября 2002, 19:33:59 »

htmlspecialchars($text,ENT_QUOTES);

Макс · « **Ответ #8 :** 29 Ноября 2002, 00:33:52 »

Evgeny
ты мой вариант проверял? В некоторых субд (sybase, mssql, interbase насколько я знаю) кавычки экранируются второй кавычкой, то есть
select * from table1 where (field1 LIKE \'AAA\'\'BBB\')
там 2 одинарные кавычки посередине

Evgeny · « **Ответ #9 :** 02 Декабря 2002, 19:41:45 »

Макс
Большое спасибо, заработало.
Не заметил, что это две одинарные кавычки были.

Новости:

Автор Тема: Проверка ситаксиса SQL-запроса. (Прочитано 4004 раз)