Cân nhắc sử dụng Truy vấn được tham số hóa bằng PDO chẳng hạn.
Ngoài ra, đặt các biến của bạn trong dấu ngoặc vuông {}.
Chỉnh sửa:
Tôi nhớ rằng biến của bạn $subject chứa dấu nháy đơn. Điều này có nghĩa là bạn phải thoát khỏi chúng. (Xem vô số câu trả lời khác và mysql_real_escape_string() về điều này.) Nhưng như bạn có thể thấy, các dấu ngoặc kép bên trong biến là chính xác cách hoạt động của các cuộc tấn công tiêm. Thoát khỏi chúng giúp ngăn chặn những vấn đề như vậy cũng như cho phép truy vấn của bạn lưu trữ dữ liệu mong đợi.
Không có câu trả lời nào về các cuộc tấn công tiêm là hoàn chỉnh nếu không tham khảo Bobby Tables .
