سلام
شما باید تمام ورودی خروجی هاتو چک کنی
مثلا اگر یه فیلد داری که طرف باید شماره تماس بگذاره باید چک کنی که رشته وارد نکنه و همچنین بقیه موارد که با regular expression می تونی درست کنی
بعد از این تابع (می تونی خودتم تغییر بدی) برای چک کردن ورودی ها قبل از خواندن یا درج کردن(در مرحله آخر) استفاده کنی.
public function escape($sql) {
$sql = trim($sql);
$sql = strip_tags($sql);
if(!get_magic_quotes_gpc() )
{
$sql = addslashes($sql);
}
$sql = addslashes($sql);
$sql = mysql_real_escape_string($sql);
return $sql;
}