Comment échapper en toute sécurité aux chaînes des requêtes SQL Server en PHP ?

Échapper des chaînes dans SQL Server à l'aide de PHP

Dans le domaine de la programmation de bases de données, prévenir les attaques par injection SQL est d'une importance primordiale. L'échappement des chaînes destinées aux requêtes SQL est une étape cruciale dans la protection contre les exploits malveillants.

Lorsqu'il s'agit spécifiquement de SQL Server, de nombreux développeurs s'interrogent sur l'alternative à la fonction obsolète mysql_real_escape_string() de PHP. Bien que addlashes() puisse sembler un remplacement simple, il ne suffit pas dans certaines situations.

La solution Hex Bytestring

Pour une solution complète, envisagez de convertir les données en une chaîne d'octets hexadécimal. Cette approche garantit une compatibilité universelle avec tous les types de données :

$unpacked = unpack('H*hex', $data);
mssql_query('
    INSERT INTO sometable (somecolumn)
    VALUES (0x' . $unpacked['hex'] . ')
');

Fonction abstraite pour l'échappement

Pour simplifier le processus, vous pouvez définir une fonction personnalisée :

function mssql_escape($data) {
    if(is_numeric($data))
        return $data;
    $unpacked = unpack('H*hex', $data);
    return '0x' . $unpacked['hex'];
}

mssql_query('
    INSERT INTO sometable (somecolumn)
    VALUES (' . mssql_escape($somevalue) . ')
');

Alternative à mysql_error()

Pour la manipulation erreurs dans SQL Server, utilisez la fonction mssql_get_last_message(), qui fournit des fonctionnalités similaires à mysql_error().

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!