Получаю данные от клиента и формирую массив. Массив храню в БД mysql в поле TEXT. Вставка или обновление обычной строкой:
$string = json_encode($array, JSON_UNESCAPED_UNICODE);
$query = "UPDATE db_table SET db_field='$string'";
Каким образом можно осуществить SQL инъекцию в этом случае?
Поиск выдал лишь заключение, что это небезопасно и так делать не надо. Но реальных примеров я не нашел.
Хочется обезопасить БД от инъекций, но не хочется:
1. использовать подготовленные запросы, т.к. лишние запросы;
2. экранировать всю json строку при помощи mysqli_real_escape_string;
3. нормализировать БД или использовать другую БД (MongoDB) т.к. на этом этапе разработки в этом нет необходимости
Простой
Средний