SQL Escape/Unescape reiškia teksto įvesties valymo procesą, kad ją būtų galima saugiai įterpti į SQL sakinius.
Escape modifikuoja specialiuosius simbolius (pvz., kabutes arba atgalinius brūkšnius) taip, kad būtų išvengta sintaksės klaidų arba kenkėjiško kodo vykdymo.
Escape panaikinimas konvertuoja išskleistus simbolius atgal į pradinę formą, paprastai rodymui arba tolesniam apdorojimui.
Siekiant išvengti SQL injekcijos atakų, kai kenkėjiška įvestis gali pakeisti SQL užklausos logiką.
Siekiant išvengti sintaksės klaidų užklausose, kai duomenyse yra tokių simbolių kaip ', " arba \.
Siekiant išlaikyti duomenų vientisumą, užtikrinant, kad vartotojo įvestis būtų saugoma ir gaunama tiksliai tokia, kokia buvo įvesta.
Escape atliekamas:
Dvigubinant viengubas kabutes eilutėse (pvz., „O'Brien“ tampa „O''Brien“).
Naudojant integruotas duomenų bazės funkcijas arba bibliotekas, kad įvestis būtų tinkamai panaikinta.
Escape atšaukimas įvyksta, kai duomenų gavimas, dažnai apdorojamas automatiškai duomenų bazės arba jūsų programos lygmens.
Šiuolaikinėje kūrime tai paprastai tvarko parametrinės užklausos arba ORM (objektų ir reliacinių objektų atvaizdavimo sistemos), kurios saugiai ir automatiškai tvarko kaitos kodą.
Kai įterpiama arba užklausiama vartotojo įvestis tiesiogiai į neapdorotą SQL (nerekomenduojama, nebent tinkamai kaitos kodas yra).
Kai dirbama su senosiomis sistemomis arba neapdorotomis SQL eilutėmis, kur nėra automatinės apsaugos.
Visada kaitos kodą naudokite, nebent naudojate paruoštus teiginius arba parametrines užklausas, kurios yra pageidaujamos ir saugesnės alternatyvos.
