Sử dụng các câu lệnh đã chuẩn bị thay vì trộn câu lệnh và dữ liệu trọng tải thực tế.
xem
- http://dev.mysql.com/ tech-resources / posts / 4.1 / ready-statement.html
- PDO ::chuẩn bị
- mysqli ::chuẩn bị
Bạn cũng có thể quan tâm đến http://shiflett.org/articles/sql-injection và http://shiflett.org/blog/2007/sep/ sự-bất-ngờ-sql-tiêm
