Aha oradakı cavabda aydın izah edilir. Ki giriş zamanı injectionun qarşısını necə alır, amma 2-ci dərəcəli injection hallarında(oxunma zamanı) hansı problemlər çıxa bilər və.s.
orada verilən əks nümunələr isə utf8 halında işləmir, hansı ki biz daim utf-8 ilə işləyirik onsuz da(ən azından öz milli hərflərimiz digər yayğın character setlərdə yoxdur deyə)
PDO ilə prepare linki: http://stackoverflow.com/questions/134099/are-pdo-prepared-statements-sufficient-to-prevent-sql-injection
Kodlarınızı PDO ilə yazın.
Hacklana biləcəyini deyən mənbəni göstərin lütfən.
mysqli prepare tam güvənlidir.
prepare istifadə etmədikdə isə hə öz yerlərinə uyğun olaraq: addslashes, intval(), mysql_real_escape_string və.s. istifadə etmək olar.
Ümumiyyətlə injection baxır nə mənada deyilir. Birbaşa bazanı hack etmək üçün olan injectionu təkcə addslashes() və ya mysql_real_escape_string qarşısın alır. Amma digər məsələ də var axı. Sonra bu data hardasa istifadə olunacaq axı. Deməli ya bazaya girərkən bütün tədbirlər görülməlidir, ya da bazaya sadəcə escape ilə buraxıb bazadan oxuyarkən htmlentities filan kimi tədbirlər görülməlidir.