Reicht htmlspecialchars aus, um eine SQL-Injection für eine in einfache Anführungszeichen eingeschlossene Variable zu verhindern?
Obwohl viele Quellen das zitierenhtmlspecialchars
funktionieren mitENT_QUOTES
seinnicht Ausreichend, um SQL-Injection zu verhindern, liefert keiner von ihnen einen Beweis für das Konzept. Ich kann mir keine Möglichkeit vorstellen.
Betrachten wir das folgende Beispiel:
$username = htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
$sql = "SELECT * from user WHERE name='$username'";
mysql_query($sql,...);
Kann jemand ein Beispiel geben, ANDERE als diejenigen, die von dem Fall abgedeckt werden, wennSQL Injection umgeht mysql_real_escape_string ()?