Názor k článku Zranitelnosti typu injekce: SQL injekce od null null - @Vít Šesták Pokud se knihovně pro escapování podá string...

@Vít Šesták

Pokud se knihovně pro escapování podá string ve špatném kódování, tak je možní že správně neescapuje všechny znaky. Problémem pak může implementace PS, protože pokud se použije emulovaný PS, který obecně šetří komunikaci, tak si poskládá PS sám a escapuje string podle kódování které má nasatavené při inicializaci. Takže v případě kolize kódování nemusí escapovat nic a pak to pošle do databáze, která stringy může teoreticky číst v úplně jiném kódování. Jenom říkám, že i při pouhém poslání stringu do PS je potřeba dbát i na toto a přítomnost quotace už je jenom detail pokud se toto objeví ...