Alıntı:
divemaster tarafından gönderilen mesaj:
Merhaba,
SQL injection için formdan gelen verileri bir fonksiyona bağlayıp replace ederek temizleyebiliyor/düz yazı olarak yorumlatabiliyoruz. Bunun MySQL'de gayet pratik bir yöntemi var: O da replace edilecek kelimenin önüne \ (ters slash) eklemek. Böylece bizim için korkulan bir tırnak işareti veritabanına yine tırnak işareti olarak eklenirken bir komut olarak algılanmadan düz metin haline getirilebiliyor
Kod:
replace(gelenVeri, "and", "\and" )
Ancak mssql'de böyle pratik bir yöntem bulamadım. Bu tür pratik bir yöntem ile özel karakterleri düz yazı gibi okutup mssql'e eklemenin bir yöntemi var mı? Yoksa tek yol uzun uzun replace fonksiyonları yazıp önce encode yapıp sonra decode mu yaptırmak |
SP kullanarak gelen değerleri parametre ile alabilirsiniz.