montreuillois (./63) :
En PHP y'a du "escape_query_strings", c'est réglé :PSinon on peut affiner avec les stripcslahes(), str_replace(), tout dépend.
Ah ok, si l'objectif est de protéger une valeur qui va être insérée dans une requête SQL (et non de protéger une requête complète, ce que j'avais compris d'après la description de la méthode), alors tu peux essayer ça (en supposant que c'est du MySQL derrière, mais faute d'informations plus précises...)
/**
* Remove SQL for preventing code and data injection in server Side.
* @param input a Suspicious String.
*
* @return a clear String.
*/
public String removeSQL( String input ) {
return input.replace ('([\'"])', '\$1'); // nombre de \ à vérifier ^^
}Pen^2 (./58) :
Je suis tout à fait certain que tu peux dissocier les deux, je le fais très souvent.
Tu as un exemple ?