Lọc fitter đầu vào cho website?

Bạn không nêu rõ là bạn đang sử dụng ngôn ngữ gì nên mình sẽ trả lời chung chung thế này.

1. Không bao giờ nối chuỗi để tạo thành query
2. Dùng một thư viện nổi tiếng, đã được test bảo mật kĩ càng để tạo paramterized query

Nếu sử dụng framework để truy vấn sql thì ko phải lo về sql injection

thật ra em cũng biết ạ , nhưng e muốn tự làm để tìm hiểu rõ hơn về bản chất của nó 1 xíu

em sử dụng php ạ , e muốn tự code tay để tìm hiểu chứ ko dùng framework !!

Tự làm thì tìm hiểu “escape sql string”,

PHP thì tìm với từ khóa prepared statement

em sử dụng php ạ , e muốn tự code tay để tìm hiểu chứ ko dùng framework !!

PHP phiên bản gần đây người ta sử dụng PDO hoặc MySQLi để kết nối CSDL MySQL là chính, không còn hỗ trợ cách kết nối cũ nữa cho nên bạn đọc tài liệu đa số họ viết theo hướng dùng prepared statement như bạn @thangngoc89 đề cập, hãy tìm kiếm với từ khóa đó. Nếu cơ sở dữ liệu bạn sử dụng lại có hỗ trợ stored procedure này thì tận dụng nó nữa càng tốt, sẽ dự đoán được tình huống để tránh lâm vào SQL Injection. Hơn nữa, quan trọng nhất là làm rõ dữ liệu đầu vào khi được nhập từ user, phải đi qua bộ lọc cho nó tinh trước khi truyền tham số cho câu SQL query.

Tự clone lại Prepare Statement. Mình cũng biết các bạn sinh viên thích làm từ scratch, nhưng đó là thói quen không tốt. Clone nhiều tool, khi chắc tay rồi tự sáng tạo ra cái mới.