Bazı dostum beni onun kodunu sql-enjekte meydan. O başlığında PHP işlevi bu durum için yeterli gerektiğini söyledi.

$var = 'my malevolent input will be in here';
$var = mysql_real_escape_string($var);

$sql = "SELECT * FROM `users` WHERE `id` = '$var'";

mysql_query($sql);

Ben tek tırnak kaçışa atlamak gibi olamaz. Ben $ var bir değer olarak ne kullanmalıyım? Can Sana bir şey kullanmak?

Thanks, as always