स्टेटमेंट और वास्तविक पेलोड डेटा को मिलाने के बजाय तैयार स्टेटमेंट का उपयोग करें।
देखें
- http://dev.mysql.com/ tech-resources/articles/4.1/prepared-statements.html
- PDO::prepare
- mysqli::prepare
आपकी रुचि http://shiflett.org/articles/sql-injection में भी हो सकती है। और http://shiflett.org/blog/2007/sep/ अप्रत्याशित-एसक्यूएल-इंजेक्शन