Použijte připravené příkazy namísto smíchání příkazu a skutečných dat užitečného zatížení.
viz
- https://dev.mysql.com/ tech-resources/articles/4.1/prepared-statements.html
- CHOP::prepare
- mysqli::prepare
Také by vás mohlo zajímat https://shiflett.org/articles/sql-injection a https://shiflett.org/blog/2007/sep/ the-unexpected-sql-injection