или зарегистрируйтесь!
Это вам пригодится, когда вы решите поделиться с нами советом, проголосовать за совет или оставить комментарий. И заодно пропадёт этот надоедливый текст!
Программируете что-либо с использованием SQL? Не забудьте про риск SQL-инъекции.
Скорее всего, в СУБД-библиотеке уже есть функции, автоматически заменяющие спецсимволы в строках на соответствующие подстановки. Например, bind в SqLite, TQuery.Params в Delphi… Найдите их и используйте!
Незарегистрированные пользователи не могут оставлять комментарии.
Хотите зарегистрироваться?
?
Тег программирование
Тег SQL
mysql_real_escape_string, $adodb->qstr(?)
кстати, bind и D.Params никакого отошения к экранированию неимеют
Они мало того что экранируют — так ещё параметры подставляют прямо в запрос. bind на место вопросительных знаков, TQuery.Params — а не помню, какие там символы подстановки. Вообще клад для проггера!
Объяснение только какое-то странное. Sqlite, Delphi — совсем разные вещи же, движок баз данных и язык программирования.
Ну… есть же в Дельфи штатная БД-библиотека!