Я изучаю SQL-инъекцию и пробовал в своем PHP-коде этот запрос:

$condition = str_replace(["'","\\"],["\\'","\\\\"], @$_GET['q']);
$query = "SELECT * FROM dummy_table WHERE dummy_column = '$condition'";

Кодировка БД и таблиц установлена ​​в UTF8.

Я не могу ничего сделать, кто-нибудь может мне помочь, пожалуйста?

РЕДАКТИРОВАТЬ: Как указал GarethD, это сначала сбежит, а затем \, позволяя инъекции, как насчет этого str_replace?

$condition = str_replace(["\\","'"],["\\\\","\\'"], @$_GET['q']);