Rozważ użycie zapytań sparametryzowanych przy użyciu PDO na przykład.
Alternatywnie umieść zmienne w nawiasach { }.
Edytuj:
Brakowało mi, że twoja zmienna $subject zawiera pojedyncze cytaty. Oznacza to, że musisz im uciec. (Zobacz mnóstwo innych odpowiedzi i mysql_real_escape_string() o tym.) Ale jak widać, pojedyncze cudzysłowy wewnątrz zmiennej dokładnie opisują działanie ataków wstrzykiwania. Ucieczka przed nimi pomaga zapobiegać takim problemom, a także umożliwia przechowywanie oczekiwanych danych przez zapytanie.
Żadna odpowiedź na temat ataków wstrzykiwania nie jest kompletna bez odniesienia do Tabele Bobby .
