Экранирование применяется к внешним данным

Безымянный 06.02.2019 00:19

К данным, написанным разработчиком или парсером экранирование не применяется.

$set[set json = '$json']
^void:sql{insert into test $set}

Вас же не удивляет, что в этом случае экранирования ' не происходит?
То есть правильно будет пометить $json недостоверным:

^void:sql{insert into test set json = '^taint[$json]'}

Непонятка с json-string и sql, Maxx [M] 05.02.2019 15:47 / 05.02.2019 15:48
- Экранирование применяется к внешним данным, 06.02.2019 00:19
  - Удивляет причем тут внешние данные, Maxx [M] 06.02.2019 01:55
    - Ответ, moko [M] 06.02.2019 02:16

Новости	FAQ	Авторы	Документация	В действии	Библиотека
Инструменты	Полезные ссылки	Хостинги	Скачать	Примеры	Форум