SQL-инъекция в PostgreSQL работает, когда в SQL-запросы включаются недоверенные данные без должной проверки или санитизации. 1 Это позволяет злоумышленникам ввести вредоносный SQL-код и потенциально скомпрометировать базу данных. 1

Для защиты от SQL-инъекций в прикладных библиотеках PostgreSQL libpq и libpqxx применяется техника «эскейпинг» или экранирование строки. 3 Она заключается в том, чтобы убрать лишние символы разрыва строк в строках, содержащих специальные символы. 3 С помощью этой функции символы удваиваются и более не считаются окончанием строки, а интерпретируются как обычные символы. 3

Также для предотвращения SQL-инъекций рекомендуется использовать параметризованные запросы, в которых для ввода пользователя используются заполнители, а механизм базы данных автоматически выполняет экранирование и проверку. 1