Очень интересный вариант защиты от SQL-инъекций и XSS
Июль 30, 2010Суть техники сводится в подстановке в SQL-запросах всех данных в base64-представлении и таким образом нет смысла использовать какие либо парсеры/анализаторы используемых в SQL-запрос данных (placeholders и т.д.).
Простой пример: «SELECT * from mytable where textfield=base64_decode('Q29vbEhhY2tlcnM=')» где base64_decode — функция декодирования из base64, релализуемая конкретной БД.
В base64 отстуствуют спецсимволы и следовательно никаких угроз нашему запросу от вносимых в него данных не будет. Нет необходимости как-то экранировать или изменять входные данные. Достаточно закодировать их в base64 и передать в запросе.