Seguro contra injeção de SQL - PDO, mysqli [duplicate]
Duplicata Possível:
Melhor maneira de impedir a injeção de SQL no PHP
Acabei de descobrir que o meu site é vunerável.
Desde que esteja conectado a um DB e tenha funções como: Register, Change Password, Notices, etc ... eSUPOSING é totalmente vulnerável.
O que devo procurar no código para começar a torná-lo seguro?
Quer dizer, eu fiz algumas pesquisas e em todo lugar, todo mundo fala coisas diferentes sobre segurança.
"Use PDO".
"Use mysql_real_escape_string."
"Use addslashes."
O que exatamente devo procurar ??
"$_POST" and "$_GET" variables??
"$_SESSION" variables?
Consultas SQL?
$sql = "select * from user";
$sql = "update user set user="new_user_name";
$sql = "insert into user (user) values ('userid')";
O que devo fazer em cada caso? Por favor, ajude-me a saber para onde e para onde devo ir.
Obrigado.