Utilice declaraciones preparadas en lugar de mezclar la declaración y los datos reales de la carga útil.
ver
- http://dev.mysql.com/ tech-resources/articles/4.1/prepared-statements.html
- PDO::prepare
- mysqli::prepare
También podría estar interesado en http://shiflett.org/articles/sql-injection y http://shiflett.org/blog/2007/sep/ la-inyección-sql-inesperada
