Użyj przygotowanych zestawień zamiast mieszać zestawienie i rzeczywiste dane ładunku.
patrz
- https://dev.mysql.com/ tech-resources/articles/4.1/prepared-statements.html
- PDO::przygotuj
- mysqli::przygotuj
Możesz być również zainteresowany https://shiflett.org/articles/sql-injection oraz https://shiflett.org/blog/2007/sep/ nieoczekiwane wstrzyknięcie-sql
