Zvažte použití parametrizovaných dotazů pomocí PDO například.
Případně své proměnné uzavřete do hranatých závorek { }.
Upravit:
Přehlédl jsem, že vaše proměnná $subject obsahuje jednoduché uvozovky. To znamená, že jim musíte uniknout. (Podívejte se na nespočet dalších odpovědí a mysql_real_escape_string() Ale jak vidíte, jednoduché uvozovky uvnitř proměnné přesně přesně tak fungují injekční útoky. Jejich escapování pomáhá takovým problémům předcházet a zároveň umožňuje, aby váš dotaz uložil očekávaná data.
Žádná odpověď ohledně injekčních útoků není úplná bez odkazu na Bobby Tables .