Quale sarebbe un buon controllo per rimuovere tutte le possibilità di SQL-injection su un ORDER BY col
dove col
è una variabile non sicura?
Attualmente rimuovo [^A-Za-z0-9_]
dalla stringa in php. È troppo paranoico o forse anche non abbastanza?
EDIT:
Giusto per chiarire: sto cercando un modo per rimuovere qualsiasi SQLi da un ORDER BY $unsafeVariable
- non una soluzione generale di prevenzione SQLi. Sto già usando query preparate e pdo :: quote dove necessario, ma dato che avevo bisogno di includere una variabile non sicura in una dichiarazione order by
ho pensato di chiedere un'opinione a qualcun altro.