Duplicata Possível:
Melhor maneira de impedir a injeção de SQL no PHP

Acabei de descobrir que o meu site é vunerável.

Desde que esteja conectado a um DB e tenha funções como: Register, Change Password, Notices, etc ... eSUPOSING é totalmente vulnerável.

O que devo procurar no código para começar a torná-lo seguro?

Quer dizer, eu fiz algumas pesquisas e em todo lugar, todo mundo fala coisas diferentes sobre segurança.

"Use PDO".

"Use mysql_real_escape_string."

"Use addslashes."

O que exatamente devo procurar ??

"$_POST" and "$_GET" variables??
"$_SESSION" variables?

Consultas SQL?

$sql = "select * from user";
$sql = "update user set user="new_user_name";
$sql = "insert into user (user) values ('userid')";

O que devo fazer em cada caso? Por favor, ajude-me a saber para onde e para onde devo ir.

Obrigado.