Правильный способ избежать атак с использованием SQL-инъекций, независимо от того, какую базу данных вы используете, - это отделить данные от базы. Переданные значения никогда не должны интерпретироваться синтаксическим анализатором SQL как команды. Необходимо написать запрос так, что бы пришедшее значение шло как параметр запроса и экранировалось на уровне приложения, а не хранилища данных. В такой реализации злоумышленник не сможет внедрить вредоносный SQL. Базово существуют два варианта решения этой задачи: $stmt = $pdo->prepare('SELECT * FROM products WHERE code = :code'); $stmt->execute([ 'code' => $code ]); foreach ($stmt as $row) { // получаем значения из $row } 2...