1.3 Защита. 
Проверка системы управления содержимым на SQL уязвимости

Существуют разные способы защиты от инъекции, но в основе каждого лежит правильная и хорошая фильтрация пользовательского ввода. Данные к веб-приложениям поступают из массивов GET, POST и из COOKIE. Любой из массивов может быть преднамеренно изменен. Необходимо контролировать типы входящих значений.

Нужно численные значения преобразовывать к численным посредством intval (), floatval () и т. п.

$a = intval ($_GET['a']);

Это уже не позволит вместо $а вписать какой-то запрос. Следует отметить, что intval () нельзя использовать при проверке число или нет в переменной. Intval () возвращает 1 при непустых значениях параметра любого не числового типа. Для проверки на число лучше использовать is_numeric ().

Для строковых значений следует использовать addslashes (), которая экранирует все кавычки символом. А еще лучше html_entities () для кодирования символов сущностями html («и т.п.).

Как видно, доступ к чтению БД очень опасен. При использовании PHP и глобальных массивов стоит быть очень осторожным. Следует с ответственностью относится к настройке прав пользователей базы, запрещать чтение INFORMATION_SCHEMA и базу данных mysql. Необходимо фильтровать все входные данные. На сайтах стоит отключать error_reporting и дамп ошибок БД в браузер.