[bivald]

Om du kör PHP kan du med fördel använda följande exempel (hämtad från http://se2.php.net/manual/en/functio...ape-string.php)

Kod:

<?php
// Quote variable to make safe
function quote_smart($value)
{
  // Stripslashes
  if (get_magic_quotes_gpc()) {
    $value = stripslashes($value);
  }
  // Quote if not a number or a numeric string
  if (!is_numeric($value)) {
    $value = "'" . mysql_real_escape_string($value) . "'";
  }
  return $value;
}

// Connect
$link = mysql_connect('mysql_host', 'mysql_user', 'mysql_password')
  OR die(mysql_error());

// Make a safe query
$query = sprintf("SELECT * FROM users WHERE user=%s AND password=%s",
      quote_smart($_POST['username']),
      quote_smart($_POST['password']));

mysql_query($query);
?>

Mer teori om SQL injections hittar du på google..