Как грамотно защититься от SQL injection

а если вот так ..a=1data&b=2data где дата может быть и числом и буквами

проверять тип значений, например is_int($_GET[id])

пользоваться htmlspecialchars, например htmlspecialchars($_POST[text])

пользоваться ModRewrite - перезаписывать запросы например RewriteRule ^(\d+).html$ ./index.php?id=$1

strip_tags - удалять все тэги из вводимого пользователем текста

Скажите а обязательно фильтровать ( и ) ?

S.E.O, прочитайте документацию ;) ФИЛЬТРОВАТЬ НИЧЕГО НЕ НАДО!

Ну яно.....а кто обьяснить мне такую функцию в Mysql char() ??

S.E.O, USE GOOGLE

http://www.google.com/search?q=mysql+char()&ie=UTF-8

Спасибо за поправки.

Почему же, для всех скриптов, использующих что-нибудь из квори_стринг со связью с бд заглушка окажется полезной. Это первичный фильтр, перед анализом самого query к базе. Если вредные запросы срезаются из квори заранее - чем это плохо?

Можно использовать mysql_real_escape_string($парметр) :)

Еще можно использовать sql_placeholder'ы, если большое желание имеется.

не можно, а НУЖНО! практически единственно правильное решение.

А все эти ваши .... даже не знаю как назвать, на первой странице - банально стыдно за таких программистов.

Говорят, что если скрипт распространённый, то в качестве защиты от инъекции помогает смена префикса базы данных на нестандартный. Это правда?

Для тех кто не программист это самое простое решение. ;)

не спасает.

Первым шагом в таком случае является формирование некорректного запроса и получения сообщения об ошибке, из которого и будет получен префикс.