Overvej at bruge parametriserede forespørgsler ved hjælp af PDO for eksempel.
Alternativt kan du indsætte dine variable i parentes { }.
Rediger:
Jeg savnede din variabel $subject indeholder enkelte citater. Det betyder, at du skal undslippe dem. (Se det utal af andre svar og mysql_real_escape_string() om dette.) Men som du kan se, er enkelte anførselstegn inde i variablen præcis, hvordan injektionsangreb fungerer. At undslippe dem hjælper med at forhindre sådanne problemer og giver din forespørgsel mulighed for at gemme de forventede data.
Intet svar om injektionsangreb er komplet uden at henvise til Bobby Tables .