La meilleure façon d'éviter les injections est d'utiliser Déclarations préparées
.
Pour les déclarations préparées, je préfère utiliser PDO pour gérer tous mes éléments de base de données. voici un exemple de code PDO que j'ai écrit pour récupérer des informations de connexion de base :
$sql=new PDO("mysql:host=127.0.0.1;dbname=name","user","password");
$user=$_POST[user];
$query="select Salt,Passwd from User
where Name=:user";
$stmt=$sql->prepare($query);
$stmt->bindParam(':user',$user);
$stmt->execute();
$dr=$stmt->fetch();
$sql=null;
$password=$_POST[pass];
$salt=$dr['Salt'];
...etc
Lisez ceci page pour plus d'informations sur l'AOP. Si vous voulez savoir ce que fait chaque ligne de code ici, lisez ceci réponse que j'ai donnée à un autre post.
