SQL escape/unescape đề cập đến quá trình khử trùng dữ liệu nhập văn bản để có thể nhúng an toàn vào các câu lệnh SQL.
Escape sửa đổi các ký tự đặc biệt (như dấu ngoặc kép hoặc dấu gạch chéo ngược) theo cách ngăn ngừa lỗi cú pháp hoặc thực thi mã độc hại.
Unescaping chuyển đổi các ký tự thoát trở lại dạng ban đầu của chúng, thường là để hiển thị hoặc xử lý thêm.
Để ngăn chặn các cuộc tấn công tiêm SQL, trong đó dữ liệu nhập độc hại có thể thay đổi logic của truy vấn SQL.
Để tránh lỗi cú pháp trong các truy vấn khi dữ liệu chứa các ký tự như ', " hoặc \.
Để duy trì tính toàn vẹn của dữ liệu, đảm bảo rằng dữ liệu đầu vào của người dùng được lưu trữ và truy xuất chính xác như đã nhập.
Thoát được thực hiện bằng cách:
Đôi dấu ngoặc đơn trong chuỗi (ví dụ: 'O'Brien' trở thành 'O''Brien').
Sử dụng các hàm hoặc thư viện cơ sở dữ liệu tích hợp để thoát khỏi dữ liệu đầu vào một cách thích hợp.
Thoát xảy ra khi truy xuất dữ liệu, thường được xử lý tự động bởi cơ sở dữ liệu hoặc lớp ứng dụng của bạn.
Trong quá trình phát triển hiện đại, điều này thường được quản lý bởi các truy vấn tham số hoặc ORM (Object-Relational Mapper), xử lý thoát một cách an toàn và tự động.
Khi chèn hoặc truy vấn đầu vào của người dùng trực tiếp trong SQL thô (không khuyến khích trừ khi thoát đúng cách).
Khi xử lý các hệ thống cũ hoặc chuỗi SQL thô khi không có biện pháp bảo vệ tự động.
Luôn thoát đầu vào trừ khi sử dụng các câu lệnh đã chuẩn bị hoặc các truy vấn tham số, đây là các giải pháp thay thế được ưu tiên và an toàn hơn.
