Merhaba,<br>OWASP <a href="https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet#MySQL_Escaping" target="_blank">SQLi cheat sheet</a> sayfasinda asagidaki gibi bir ibare var.<br><p><i>MySQL supports two escaping modes:
</i></p><i>
</i><ol><li><i> ANSI_QUOTES SQL mode, and a mode with this off, which we call
</i></li><li><i> MySQL mode.
</i></li></ol><i>
</i><p><i>ANSI SQL mode: Simply encode all ' (single tick) characters with '' (two single ticks)</i></p><p><i>...</i></p><p>Ancak benim gordugum bu degil. Yani her durumda;</p><ol><li> single tick, extra single tick ile escape edilebiliyor VE<br>


</li><li>single tick, \ karakteriyle  de escape edilebiliyor.<i><br></i></li></ol>Sadece aşağıdaki komut çalıştırılırsa<br><br><i>set sql_mode NO_BACKSLASH_ESCAPE</i><br><br>işte bu durumda yukarıdaki ikinci madde çalışmıyor.<br>


<br>MySQL 5 için konuşuyoruz. Cheatsheet'deki bilgi (dolayısıyla ESAPI-Java implementasyonu) yanlış olabilir mi, ne düşünüyorsunuz?<br clear="all"><br>-- <br>bedirhan urgun