SQL-Escape
Führung
SQL-Escape
Sonderzeichen in Strings für die sichere Verwendung in SQL-Abfragen escapen. Unterstützt mehrere SQL-Dialekte, einschließlich MySQL, PostgreSQL, SQL Server und SQLite. Verhindert SQL-Injection durch ordnungsgemäßes Escapen von Anführungszeichen, Backslashes und anderen gefährlichen Zeichen, bevor sie Ihre Datenbank erreichen.
Nutzung
Fügen Sie Ihren Rohstring in den Eingabebereich ein, wählen Sie Ihren SQL-Dialekt aus und klicken Sie auf Maskieren. Das Tool wendet dialektspezifische Escape-Regeln an und gibt den sicheren String aus. Wechseln Sie in den Unescape-Modus, um den Vorgang umzukehren und den ursprünglichen Text aus einem escaped String wiederherzustellen.
Funktionen
- 5 SQL-Dialekte – Generisches/ANSI SQL, MySQL, PostgreSQL, SQL Server und SQLite mit dialektspezifischen Escape-Regeln
- Maskieren & Entschlüsseln – Zwei-Wege-Konvertierung: Rohstrings für SQL escapen oder SQL-Strings zurück in Rohtext unescapen
- Umfassendes Escaping – Behandelt einfache Anführungszeichen, doppelte Anführungszeichen, Backslashes, NUL-Bytes, Zeilenumbrüche, Wagenrückläufe und dialektspezifische Zeichen
- Ausgabe bereit zur Verwendung – Escapte Strings, die direkt in SQL-Abfragen eingefügt werden können
- In die Zwischenablage kopieren – Ein-Klick-Kopie des escaped Results
- Nur auf der Client-Seite verfügbar – Alle Verarbeitung erfolgt in Ihrem Browser ohne Datenübertragung an einen Server.
Häufig gestellte Fragen
-
Warum benötigen verschiedene SQL-Datenbanken unterschiedliche Escapes?
Jede SQL-Datenbank-Engine hat ihre eigenen Regeln für die Handhabung von Sonderzeichen in Strings. MySQL verwendet Backslash-Escaping (\' für einfache Anführungszeichen), während PostgreSQL und ANSI SQL doppelte einfache Anführungszeichen (\'\') verwenden. SQL Server verwendet doppelte einfache Anführungszeichen für Strings, aber eckige Klammern für Bezeichner. Die falsche Escape-Methode für Ihre Datenbank kann Abfragen anfällig für Injection machen oder Syntaxfehler verursachen.
-
Sollte ich String-Escaping oder parametrisierte Abfragen verwenden?
Parametrisierte Abfragen (Prepared Statements) sind immer der bevorzugte Ansatz zur Verhinderung von SQL-Injection in Produktionscode. Sie trennen die SQL-Struktur von den Daten, wodurch Injection von vornherein unmöglich wird. String-Escaping ist nützlich für schnelles Testen, Debugging, Schreiben von einmaligen Skripten oder Situationen, in denen keine parametrisierten Abfragen verfügbar sind. Verwenden Sie für jede Produktionsanwendung, die Benutzereingaben verarbeitet, immer parametrisierte Abfragen.
-
Welche Zeichen behandelt SQL-Escaping?
SQL-Escaping behandelt Zeichen, die die Abfragesyntax unterbrechen oder Injection-Angriffe ermöglichen könnten. Das wichtigste ist das einfache Anführungszeichen ('), das Strings in SQL begrenzt. Andere escapte Zeichen sind doppelte Anführungszeichen ("), Backslashes (\), NUL-Bytes (\0), Zeilenumbrüche (\n), Wagenrückläufe (\r) und das SUB-Zeichen (\Z in MySQL). Die genaue Menge der escapten Zeichen variiert je nach SQL-Dialekt.
Erweiterungen installieren
IO-Tools zu Ihrem Lieblingsbrowser hinzufügen für sofortigen Zugriff und schnellere Suche
恵 Die Anzeigetafel ist eingetroffen!
Anzeigetafel ist eine unterhaltsame Möglichkeit, Ihre Spiele zu verfolgen. Alle Daten werden in Ihrem Browser gespeichert. Weitere Funktionen folgen in Kürze!
Unverzichtbare Tools
Alle Neuheiten
AlleAktualisieren: Unser neuestes Werkzeug wurde hinzugefügt am 16. April 2026
Beteiligen Sie sich
Helfen Sie uns, weiterhin wertvolle kostenlose Tools bereitzustellen
