Usa istruzioni preparate invece di mescolare la dichiarazione e i dati del carico utile effettivo.
vedi
- http://dev.mysql.com/ tech-resources/articles/4.1/prepared-statements.html
- DOP::prepare
- mysqli::prepare
Potrebbe interessarti anche http://shiflett.org/articles/sql-injection e http://shiflett.org/blog/2007/sep/ l'iniezione-sql imprevista
