Vous devez vous appuyer sur le mécanisme de l'api de votre base de données pour utiliser les requêtes paramétrées. Si vous êtes premier construire dynamiquement une chaîne sql et puis voulez désinfecter la chaîne de requête terminée, vous le faites mal. C'est juste demander des ennuis. Edit: après avoir relu votre question, il semble que j'ai mal compris ce que vous demandiez. Je maintiens mes commentaires initiaux comme étant précis pour la partie injection de sql de votre question. Pour cela, vous voulez certainement de vrais paramètres de requête. En ce qui concerne le filtrage de javascript, je ne pense pas qu'il existe un véritable standard pour le faire. Je sais que Jeff a posté le code qu'ils utilisent ici à SO, mais je n'ai pas le lien à portée de main. Si je peux le trouver, je le posterai.