Как грамотно защититься от SQL injection

Например:

1:

$sql_inj = array("'", ";", "/**/", "/UNION/", "/SELECT/", "AS ", "EVAL","<?",'"',"$",'..');

foreach($sql_inj as $res)

{

if(stristr($_SERVER['QUERY_STRING'], $res)) die("SQL-inj....");

}

2.

Фильтровать все данные вводимые через формы.

Помоему вы забыли отфильтровать ( и ) вом не кажеться ?

Контролировать макс. длинну значения, что ввел пользователь. Явно отрезать все лишнее функцией substr, например $q=substr($q, 0, 64);

Все текстовые запросы (ключевые слова для поиска), если такое допустимо, пропускать через функцию htmlspecialchars, например $q=htmlspecialchars($q);.

или

Вырезать все символы кроме буквенных, например:

$q=preg_replace("/[^\w\x7F-\xFF\s]/", " ", $q);

Все числовые переменные явно преобразовывайте в число, например $page=(int)$page;

Не стоит недооценивать пользователей и забывать о числовых переменных.

Этого должно хватить, чтобы защититься от большинства пакостей, что могут преподнести пользователи.

Вы еще про DELETE забыли...

Irh, Вы чего-нибудь толковое почитайте на этот счет, чтобы людей не деизнформировать ;)

Timen, то же самое

Наверно проще не вырезать все а пускать только то, что нужно..

Ну есть ситуации когда пользователь вообще ничего не вводит как быть тогда ???

Простите а вы чего нибудь добавите ?

Да, я неправильно выразился. После отработки указаной ф-и останутся только допустимые символы.

У сайта есть параметры (явные переменные), что передаются в url строке, например site.com/?a=1&b=2. ?

http://phpfaq.ru/slashes

Я сам использую предложенный мной вариант и мои сайты не ломали ни разу.

Конечно же, я буду очень признателен за ссылку(и) на статьи или доки по теме или просто рекомендации.