SQL escape/unescape mengacu pada proses membersihkan input teks sehingga dapat disematkan dengan aman dalam pernyataan SQL.
Escaping mengubah karakter khusus (seperti tanda kutip atau garis miring terbalik) dengan cara yang mencegah kesalahan sintaksis atau eksekusi kode berbahaya.
Unescaping mengubah karakter yang lolos kembali ke bentuk aslinya, biasanya untuk ditampilkan atau diproses lebih lanjut.
Untuk mencegah serangan injeksi SQL, di mana input berbahaya dapat mengubah logika kueri SQL.
Untuk menghindari kesalahan sintaks dalam kueri saat data berisi karakter seperti ', ", atau \.
Untuk menjaga integritas data, memastikan bahwa input pengguna disimpan dan diambil persis seperti yang dimasukkan.
Escaping dilakukan dengan:
Menggandakan tanda kutip tunggal dalam string (misalnya, 'O'Brien' menjadi 'O''Brien').
Menggunakan fungsi atau pustaka basis data bawaan untuk melakukan escape input dengan benar.
Unescaping terjadi saat mengambil data, yang sering kali ditangani secara otomatis oleh basis data atau lapisan aplikasi Anda.
Dalam pengembangan modern, hal ini biasanya dikelola oleh kueri berparameter atau ORM (Object-Relational Mappers), yang menangani escape secara aman dan otomatis.
Saat memasukkan atau mengkueri input pengguna secara langsung dalam SQL mentah (tidak disarankan kecuali escape dilakukan dengan benar).
Saat menangani sistem lama atau string SQL mentah yang tidak memiliki perlindungan otomatis.
Selalu escape input kecuali menggunakan pernyataan yang telah disiapkan atau kueri berparameter, yang adalah alternatif yang lebih baik dan lebih aman.
