Pertimbangkan untuk menggunakan Kueri Berparameter menggunakan PDO misalnya.
Sebagai alternatif, sertakan variabel Anda dalam tanda kurung {}.
Sunting:
Saya melewatkan variabel Anda $subject berisi kutipan tunggal. Ini berarti Anda harus menghindari mereka. (Lihat segudang jawaban lain dan mysql_real_escape_string() tentang ini.) Tapi seperti yang Anda lihat, tanda kutip tunggal di dalam variabel adalah persis bagaimana serangan injeksi bekerja. Menghindarinya membantu mencegah masalah seperti itu serta memungkinkan kueri Anda menyimpan data yang diharapkan.
Tidak ada jawaban tentang serangan injeksi yang lengkap tanpa merujuk ke Bobby Tables .
