eso es precisamente a lo que me refiero: no sabes entonces nada de una inyección SQL
la clave para que una inyección se lleve a cabo es precisamente las comillas, si esos caracteres sencillos y otros pocos que sirven por lo general para encerrar valores literales, etc...
si dichos valores entre comillas no son escapados es entonces como se pueden producir ataques de inyección SQL.... y no es necesario eliminar palabras a lo absurdo...
el punto es el siguiente, aunque elimines palabras con determinadas instrucciones si no consigues escapar bien los valores literales y comillas aún pueden cometer ataques... o no precisamente ataques, también problemas de sintaxis SQL, etc...
esto no es un ataque de SQL:
Cita: INSERT INTO tabla(columna) VALUES('me and/or myself')
¿que pasaría si eliminas las palabras
and y
or?
bueno, en primer lugar no evitas ningún ataque... pues inicialmente no existe, pero si eliminarías información valiosa del usuario... solo porque no eres capaz de comprender y sanar un problema no tienes porque eliminar deliberadamente los datos de la entrada del usuario...
en fin, es un tema complicado de explicar aquí... pero te invito a que investigues mas al respecto, y sobre todo que reflexiones... no te dejes llevar por lo que "crees" correcto, debes asegurarte de hacer lo correcto!!
