Използвайте подготвени отчети, вместо да смесвате изявлението и действителните данни за полезен товар.
вижте
- https://dev.mysql.com/ tech-resources/articles/4.1/prepared-statements.html
- PDO::prepare
- mysqli::prepare
Може да се интересувате и от https://shiflett.org/articles/sql-injection и https://shiflett.org/blog/2007/sep/ неочакваната-sql-инжекция
