Masalah Anda jauh lebih buruk dari ini -- bagaimana jika seseorang memasukkan nilai '; DROP TABLE poet; -- ? Anda harus menggunakan mysql_real_escape_string() untuk menghindari nilai, atau gunakan kueri parametris (dengan PDO, misalnya).
Ini tahun 2011, karena menangis dengan keras. Mengapa injeksi SQL masih menjadi masalah yang meluas?
