Utilisez des instructions préparées au lieu de mélanger l'instruction et les données utiles réelles.
voir
- http://dev.mysql.com/ ressources-techniques/articles/4.1/prepared-statements.html
- PDO ::prepare
- mysqli::prepare
Vous pourriez également être intéressé par http://shiflett.org/articles/sql-injection et http://shiflett.org/blog/2007/sep/ l'injection-sql-inattendue