Помислете за използването на параметризирани заявки, като използвате PDO например.
Алтернативно, оградете променливите си в скоби { }.
Редактиране:
Пропуснах тази променлива $subject съдържа единични кавички. Това означава, че трябва да избягате от тях. (Вижте безброй други отговори и mysql_real_escape_string() за това.) Но както можете да видите, единичните кавички вътре в променливата са точно как работят атаките с инжектиране. Избягването им помага за предотвратяване на подобни проблеми, както и позволява на вашата заявка да съхранява очакваните данни.
Никой отговор относно атаките с инжекции не е пълен без препратка към Таблици на Боби .
