Roi*_*Roi 4 javascript webkit sql-injection web-sql
我目前正在将mysql数据库的xml导出导入到websql数据库中,以用于在线移动体验.
一切正常,花花公子,直到我插入的任何字符串都有双引号.通常,在PHP中,我会在插入时使用类似:mysql_real_escape_string的东西.
我知道我可以尝试的选项是编写正则表达式并创建用于添加/删除斜杠的函数.谷歌上有很多这方面的例子 - 但我希望看到的是,是否有其他人遇到过这种情况,并且可能有更好的解决方案.
谢谢你的帮助!
忘了逃避.做正确的事:使用占位符.在这种情况下,数据永远不会被视为原始数据字符串.在Web SQL中,这可以完成executeSql.有关其工作原理的说明,请参阅预处理部分.
直接来自文档介绍的示例:
db.readTransaction(function (t) {
t.executeSql('SELECT title, author FROM docs WHERE id=?', [id], function (t, data) {
report(data.rows[0].title, data.rows[0].author);
});
});
无论id变量是什么,这个请求都会查找逐字值,永远不会被解释为命令的一部分.