Tmin10 а в чем смысл экранирования, как ты думаешь?
Смотри: у тебя строковое поле. Когда записываешь вещи в строковые поля, то эти вещи ты берешь в кавычки. field = 'value'. Если тебе захочется, чтоб в значении были кавычки (o'connor), то написать field = 'o'connor' ты не можешь (угадай почему). Вот экранирование кавычки (\') - это просто способ сделать ее обычным символом в контексте sql запроса. Обычно кавычка в запросе - это специальный символ - ограничитель значения.
А sql-инъекция - это прием заключающийся в том, что злой человек вставляет этот ограничитель и пишет после него нужную ему часть запроса.
|