Я хотел бы знать, если это надежный. В моем PHP файл я следующий код:Проверяет, является ли строка строкой надежной формы предотвращения SQL-инъекций?
if(strpos($text,"'") === false) {
//perform query
} else { /*illegal character*/ }
Я знаю, что я, вероятно, звучит как идиот, но что недостатки в этом? Может ли кто-то использовать различную кодировку символов, возможно, обойти это и ввести одну цитату?
Так что-то вроде SELECT password FROM table WHERE username = "105; DROP TABLE table"; будет вводить, даже если это внутри кавычек? –
Зависит от запроса. Но вы только сейчас проверяете '' 'anyway, а не' '', поэтому я мог бы использовать '' 'и get throguh. – Laurence
Это был только пример, но thx –