Лучший способ избежать строк для вставок sql?

Каков наилучший способ избежать строк для вставок sql, обновлений?

Я хочу разрешить специальные символы, включая «и». Является ли лучший способ поиска и замены каждой строки, прежде чем использовать ее в инструкции insert?

благодаря

Дубликат: лучший способ защитить от инъекций mysql и межсайтового скриптинга

Вы должны использовать параметризованные запросы (поэтому по расширению – библиотека интерфейса DB, которая поддерживает параметризованные запросы), так что SQL-инъекция не может произойти.

Если вы говорите о значениях данных для своих полей, лучше всего использовать mysql_real_escape_string () . (Некоторые люди, такие как mysqli , не могу сказать, что я это делаю.) Если вы говорите о разрешении пользовательских запросов … ну, будем надеяться, что вы об этом не говорите.