标签: security sql-injection code-injection
想象如下情况:
我知道(我可以看到)在使用输入字段参数查询DB之前的代码中,有一个函数可以转义所有字符。伪代码:
escape_all_chars(input_field_variable)
在输入字段中测试多个SQL查询是否有任何意义,而不是最简单的?
我的意思是有可能有一个复杂的SQL注入查询,可以某种方式通过escape_all_chars预防吗?
escape_all_chars
注意:通过复杂 SQL查询我不是在谈论复杂的多字符长查询,比如写100k符号。我在谈论具有复杂逻辑的SQL查询。