Защита от впрыска Sql только с str_replace
Я изучаю SQL-инъекцию и пробовал в своем PHP-коде этот запрос:
$condition = str_replace(["'","\\"],["\\'","\\\\"], @$_GET['q']);
$query = "SELECT * FROM dummy_table WHERE dummy_column = '$condition'";
Кодировка БД и таблиц установлена в UTF8.
Я не могу ничего сделать, кто-нибудь может мне помочь, пожалуйста?
РЕДАКТИРОВАТЬ: Как указал GarethD, это сначала сбежит, а затем \, позволяя инъекции, как насчет этого str_replace?
$condition = str_replace(["\\","'"],["\\\\","\\'"], @$_GET['q']);