Si tengo una consulta que recibe parametros de POST, de esta forma:
mysql_query("INSERT INTO tabla (columna) VALUES ('" . $_POST['user_input']; . "')");
¿Cuál es la mejor manera de evitar inyección SQL esta?
INSERT INTO tabla (column) VALUES('valor'); DROP TABLE tabla;--')