<div dir="ltr"><div>Thank you Jürgen, I feel safer ;) but... I can't figure out how postgres quote_* methods manage "--" Comments or String without Quotes that can break SQL statement or introduce elements that can't be escaped...</div>

<div><br></div><div>I would appreciate opinions by DB experts because looking around all says that escaping it's not enough.</div><div><br></div><div><pre style="white-space:pre-wrap;font-size:10.285714149475098px;margin-top:0px;margin-bottom:0px">

<font color="#000000" face="arial">Luigi Pirelli (<a href="mailto:luigi.pirelli@faunalia.it" target="_blank">luigi.pirelli@faunalia.it</a> - <a href="mailto:luipir@gmail.com" target="_blank">luipir@gmail.com</a>)</font></pre>

</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On 6 March 2014 16:35, Jürgen E. <span dir="ltr"><<a href="mailto:jef@norbit.de" target="_blank">jef@norbit.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hi Gino,<br>
<div class=""><br>
On Thu, 06. Mar 2014 at 12:10:02 +0100, Gino Pirelli wrote:<br>
> but they quote only ' or \ so they are -not- enough to a complete sql<br>
> injection protection [4]<br>
<br>
</div>Um, the link doesn't clearly point out what else to do.<br>
<div class=""><br>
> every DB have it's internal functions to manage this cases, but better<br>
> use parametrized queries as in many parts of the provider... but not<br>
> in all parts.<br>
<br>
</div>[1] looks similar.  It duplicates all backslashes not just those in front of a<br>
double quote and prepends a E to strings with backslashes.  7829e7a now does it<br>
the same way.<br>
<br>
<br>
<br>
Jürgen<br>
<br>
[1] <a href="http://doxygen.postgresql.org/fe-exec_8c.html#a01c75d019597e76bc041716f27caf564" target="_blank">http://doxygen.postgresql.org/fe-exec_8c.html#a01c75d019597e76bc041716f27caf564</a><br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Jürgen E. Fischer         norBIT GmbH               Tel. +49-4931-918175-31<br>
Dipl.-Inf. (FH)           Rheinstraße 13            Fax. +49-4931-918175-50<br>
Software Engineer         D-26506 Norden               <a href="http://www.norbit.de" target="_blank">http://www.norbit.de</a><br>
QGIS PSC member (RM)      Germany                      IRC: jef on FreeNode<br>
<br>
--<br>
norBIT Gesellschaft fuer Unternehmensberatung und Informationssysteme mbH<br>
Rheinstrasse 13, 26506 Norden<br>
GF: Jelto Buurman, HR: Amtsgericht Emden, HRB 5502<br>
<br>
_______________________________________________<br>
Qgis-developer mailing list<br>
<a href="mailto:Qgis-developer@lists.osgeo.org">Qgis-developer@lists.osgeo.org</a><br>
<a href="http://lists.osgeo.org/mailman/listinfo/qgis-developer" target="_blank">http://lists.osgeo.org/mailman/listinfo/qgis-developer</a><br>
</font></span></blockquote></div><br></div>