Описание проблемы

Я столкнулся с проблемой SQL-инъекций в своем приложении. Когда пользовательский ввод вставляется в SQL-запрос без предварительной обработки, это делает систему уязвимой к атакам. Я привожу ниже пример кода, где данная уязвимость имеется:

$unsafe_variable =...

Есть ли универсальная функция, которая хорошо подходит для санитации пользовательского ввода с целью защиты от SQL-инъекций и атак XSS, при этом позволяя использовать определенные HTML-теги?

Я сталкиваюсь с проблемой, связанной с безопасностью при работе с базами данных в PHP с использованием PDO. У меня есть следующий код:

$dbh = new PDO("blahblah");

$stmt = $dbh->prepare('SELECT * FROM users where username = :username');
$stmt->execute(array(':username' =>...

Подскажите, возможна ли уязвимость для SQL-инъекции даже с использованием функции mysql_real_escape_string()?

Рассмотрим следующую ситуацию. SQL-код формируется в PHP так:

$login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password'));

$sql...

Я пытаюсь создать SQL-запрос с использованием данных, предоставленных пользователем. В C# я использую код, подобный следующему:

var sql = "INSERT INTO myTable (myField1, myField2) " +
          "VALUES ('" + someVariable + "', '" + someTextBox.Text + "');";

var cmd = new SqlCommand(sql,...