Použijte připravené příkazy namísto smíchání příkazu a skutečných dat užitečného zatížení.
viz
- http://dev.mysql.com/ tech-resources/articles/4.1/prepared-statements.html
- CHOP::prepare
- mysqli::prepare
Také by vás mohlo zajímat http://shiflett.org/articles/sql-injection a http://shiflett.org/blog/2007/sep/ the-unexpected-sql-injection