SQL Escape Unescape

Što je SQL Escape/Unescape?

• Escape: Proces mijenjanja posebnih znakova u korisničkom unosu (poput navodnika ili obrnutih kosih crta) kako ne bi ometali SQL sintaksu.

• Unescape: Obrnuto - interpretiranje izbjegnutih nizova natrag u njihov izvorni oblik, iako je to rijetko potrebno izravno u SQL kontekstima.

Zašto koristiti SQL Escape/Unescape?

• Za spriječavanje sintaktičkih pogrešaka kada se posebni znakovi pojave u SQL nizovima.

• Za zaštitu od SQL injekcijskih napada, gdje zlonamjerni unos može promijeniti namjeravani upit.

• Kako bi se osiguralo sigurna dinamička generacija upita pri radu s korisničkim unosom ili vanjskim podacima.

Kako koristiti SQL Escape/Unescape?

• U ručnoj konstrukciji SQL niza, znakove poput jednostrukih navodnika (') zamijenite udvostručavanjem ('').

• Bolja praksa: koristite parametrizirane upite ili pripremljene naredbe u svom programskom jeziku - oni interno obrađuju izlaz i nude snažnu sigurnost.

• Različite baze podataka mogu koristiti različita pravila izlaza (npr. MySQL, PostgreSQL, SQL Server).

Kada koristiti SQL Escape/Unescape?

• Prilikom dinamičkog izgrađivanja SQL upita iz korisničkog unosa (samo ako parametrizacija nije moguća).

• Prilikom čišćenja ili zapisivanja SQL unosa.

• Prilikom parsiranja SQL nizova ili vraćanja izvornog sadržaja iz escape SQL zapisnika ili datoteka.

• U naslijeđenim sustavima ili alatima koji ručno izrađuju SQL upite.