O SQL Injection é um dos maiores problemas que acontecem em sites na internet. A partir de comandos executados na barra de endereços, os hackers conseguem enviar comandos para o banco de dados através das instruções SQL e executa comandos para a remoção, atualização e inclusão de dados não esperados pela aplicação.

Em PHP, para previnir seu código, basta usar uma instrução que faz parte do pacote do MySql que inibe essa atividade fechando os comandos que são executados pela sua aplicação. Confira um simples exemplo.

function cleanuserinput($dirty){
if (get_magic_quotes_gpc()) {
$clean = mysql_real_escape_string(stripslashes($dirty));
}else{
$clean = mysql_real_escape_string($dirty);
}
return $clean;
}