03.02.2008, 00:33
|
|
Banned
Регистрация: 11.08.2006
Сообщений: 1,522
С нами:
10393869
Репутация:
2032
|
|
Сообщение от cash$$$
SQL-инъекция
Код:
statement := 'SELECT * FROM users WHERE name = ' + QuoteParam(userName) + ';';
function QuoteParam(s : string) : string;
{ на входе — строка; на выходе — строка в кавычках и с заменёнными спецсимволами }
var
i : integer;
Dest : string;
begin
Dest := '"';
for i:=1 to length(s) do
case si of
' : Dest := Dest + '\;
'"' : Dest := Dest + '\"';
'\' : Dest := Dest + '\\';
else Dest := Dest + si;
end;
QuoteParam := Dest + '"';
end;
компоненты для мамбы на делфи?... О_О
|
|
|