Ответ

moko 06.02.2019 02:16

1. если чистые данные не экранируются, то почему в файл попадает экранированная строка? а в БД - нет?

Потому, что \ для mysql - специальный символ. Сравните:

  ^string:sql{select '{ "test":"8\"e\"" }'}
  ^string:sql{select '^taint[{ "test":"8\"e\"" }]'}

Выведет:

{ "test":"8"e"" }
{ "test":"8\"e\"" }

---