是否有一个用于清理PostgreSQL或SQL（对于FreePascal和Delphi）的查询参数的库？

您的应用程序容易受到称为SQL注入的严重安全问题的攻击。参见http://bobby-
tables.com/
。

当然，O'Brian会导致错误，但是那又如何');DROP SCHEMA public;--呢？还是');DELETE FROM users;--？第一个不起作用，因为您的应用程序 永远
不应以超级用户或拥有表的用户身份运行，但是很少有应用程序设计人员会努力做到这一点，并经常在生产环境中运行特权用户。第二个将在大多数应用程序中工作；有关详细信息，请参见帖子末尾。

最简单，最好的预防措施是在客户端库中使用 参数化语句 *。有关Delpi的信息，请参见以下示例：

To use a prepared statement, do something like this:

query.SQL.Text := 'update people set name=:Name where id=:ID';
query.Prepare;
query.ParamByName( 'Name' ).AsString := name;
query.ParamByName( 'ID' ).AsInteger := id;
query.ExecSQL;

（我从未使用过Delphi，最后一次在1995年编写了Pascal代码；我仅引用给出的示例）。

您当前正在做的是参数的 字符串插值 。这是非常危险的。仅当您具有强大的 SQL文字引号
功能时，才能安全地完成此操作，该功能不仅可以在两端使用引号，而且还可以处理其他转义符，加倍引用等。这是 强烈 最好使用参数化的语句。

这是我上面给出的示例的扩展。假设您正在按用户名进行用户的完全普通插入，其中“ Fred”是客户端输入的示例用户名：

INSERT INTO users ( user_name ) VALUES ('Fred');

现在，一些不愉快的人发送了用户名');DELETE FROM users;--。突然，您的应用程序正在运行：

INSERT INTO users ( user_name ) VALUES ('');DELETE FROM users;--');

展开时为：

INSERT INTO users ( user_name ) VALUES ('');
DELETE FROM users;
--');

或者换句话说，是插入一个插入空字符串的插入（尽管他们可以很容易地输入一个完全有效的用户名），然后是一条DELETE FROM users;语句-
删除其中的所有行users-然后是一条不执行任何操作的注释。摔得痛。你的数据到了。

*参数化声明有时被错误地称为 准备好的语句 。这是不正确的，因为没有必要对准备好的语句进行参数化，并且也不一定必须准备有参数化的语句。之所以引起这种混乱，是因为许多语言的数据库接口都没有提供一种使用参数化语句而不使用预准备语句的方法。