Htmlspecialchars é suficiente para impedir uma injeção de SQL em uma variável entre aspas simples?
Embora muitas fontes citam ohtmlspecialchars
funcionar comENT_QUOTES
ser estarnão o suficiente para impedir a injeção de SQL, nenhum deles fornece uma prova do conceito. Eu não consigo pensar em nenhuma possibilidade.
Vamos considerar o seguinte exemplo:
$username = htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
$sql = "SELECT * from user WHERE name='$username'";
mysql_query($sql,...);
Qualquer um pode fornecer um exemplo, exceto os abrangidos pelo caso quandoA injeção de SQL contorna mysql_real_escape_string ()?