Question

Si tengo una consulta que recibe parametros de POST, de esta forma:

mysql_query("INSERT INTO tabla (columna) VALUES ('" . $_POST['user_input']; . "')");

¿Cuál es la mejor manera de evitar inyección SQL esta?

INSERT INTO tabla (column) VALUES('valor'); DROP TABLE tabla;--')

Answer 1

La mejor manera es delegarlo ya sea utilizando PDO o mysqli.

PDO:

$stmt = $pdo->prepare('SELECT * FROM table WHERE name = :name');

$stmt->execute(array(':name' => $name));
mysqli:

$stmt = $dbConnection->prepare('SELECT * FROM table WHERE name = ?');
$stmt->bind_param('s', $name);

$stmt->execute();

$result = $stmt->get_result();
while ($row = $result->fetch_assoc()) {
}