[#1] Nikolay Mihaylov [2014-04-22 21:29:13]

Because we host several websites, written by different clients, I prepend this file on every php file on my server:

function armor_1234567890_abc(){
foreach($_REQUEST as $key => $data){
$data = strtolower($data);

if (strpos($data, "base64_") !== false)
exit;

if (strpos($data, "union") !== false && strpos($data, "select") !== false)
exit;
}
}

armor_1234567890_abc();

[#2] nemeth dot zsolt dot dr at gmail dot com [2014-01-11 17:58:20]

You can avoid the sql injection using views and stored procedures. Never give direct access to tables! Stored procedures can be protected by special parameters (e.g user id + password)

[#3] Richard dot Corfield at gmail dot com [2011-11-18 14:01:57]

The best way has got to be parameterised queries. Then it doesn't matter what the user types in the data goes to the database as a value. 

A quick search online shows some possibilities in PHP which is great! Even on this site - http://php.net/manual/en/pdo.prepared-statements.php
which also gives the reasons this is good both for security and performance.

[#4] wang dot liang dot com at gmail dot com [2010-03-11 15:11:13]

another way to stop sql injection when you odbc_*: create two users, 
one has only select permission, 
the other has only delete, update, and insert permission, 

so you can use select-only user to call odbc_exec while you don't have to check the sql injection; and you use d/u/i only user to update database by calling odbc_prepare and odbc_execute.

[#5] fyrye [2009-08-06 15:59:13]

Another way to prevent SQL injections as opposed to binary, is to use URL Encoding or Hex Encoding.
I haven't seen a complete example of stopping SQL Injections, most refer to use the mysql_real_escape_string function or param statements.

Several examples at http://en.wikipedia.org/wiki/SQL_injection

Which will stop \x00, \n, \r, \, ', " and \x1a based attacks.
Alot depends on your SQL query structure, though vector level attacks are still viable.

Other than that build your own regex replacement to protect specific queries that could alter or compromise your database/results for specific sections of your processing pages.
Also use unique table and field names. Not just putting _ infront of them...
Example, don't store User/s or Customer/s information in a table named the same. 
And NEVER use the same form field names for database field names.

[#6] jaimthorn at yahoo dot com [2008-10-13 02:32:11]

dark dot avenger at email dot cz wrote:

"I think that easy way to protect against SQL injection is to convert inputted data into binary format, so that whatever input is, in sql query it will consist only of 1s and 0s."

Unless there is a 1-to-1 correspondence between your inputted data and the characters in your 'binary' format, a SELECT query wouldn't work anymore.  Not a binary format, but it makes my point: MIME encoding the text 'Dark Avenger' results in 'RGFyayBBdmVuZ2Vy'.  If I wanted to look up anyone with 'Avenger' in his/her name, then 'Avenger' would be encoded as 'QXZlbmdlcg==' which clearly wouldn't result in a hit on 'RGFyayBBdmVuZ2Vy'.

If there IS a 1-to-1 correspondence, then EITHER your solution only makes it a bit harder to perform a SQL injection (a hacker would have to figure out what mapping was used between the text and the 'binary' format), OR you've come up with simply another way to escaping your data.  Either isn't a terribly good solution to the SQL injection problem.

[#7] valerylourie at gmail dot com [2008-04-15 00:23:33]

Note that PHP 5 introduced filters that you can use for untrusted user input:
http://us.php.net/manual/en/intro.filter.php

[#8] ctm at etheon dot net [2006-08-01 08:39:27]

This is a very helpful document from the MySQL site (in .pdf format) :

http://dev.mysql.com/tech-resources/articles/
guide-to-php-security-ch3.pdf