Неэффективные способы защиты от SQL-инъекций Если вы не обеспечиваете защиту от SQL инъекций и передаете данные, полученные от пользователя, непосредственно в SQL запрос, это считается наиболее опасным и нежелательным подходом. Так делать нельзя! Необходимо всегда проводить фильтрацию и/или валидацию любых данных перед их использованием в SQL-запросе. Функция htmlspecialchars() Функция htmlspecialchars() представляет опасность, поскольку она не экранирует опасные символы, такие как слеш (\), null-байт (\0) и backspace (\b)...

Моя благодарность автору сайта habr - BVN2 P.S. Ссылки приведеные автором статьи - не работают. Поэтому, визуализируйте! SQL инъекция — это один из самых доступных способов взлома сайта. Суть таких инъекций – внедрение в данные (передаваемые через GET, POST запросы или значения Cookie) произвольного SQL кода. Если сайт уязвим и выполняет такие инъекции, то по сути есть возможность творить с БД (чаще всего это MySQL) что угодно. Как вычислить уязвимость, позволяющую внедрять SQL инъекции? Довольно легко...