$_GET , $_POST, $_REQUEST ile form verilerini çektiğimiz bir sayfada mysqlin zararlı ifadelerini filtreler isek sql injcetiondan etkilenmeyiz.
mysql in özel karakterlerini süzgeçlemesi için mysql_real_escape_string() fonksiyonunu kullanacağız.

örneğin:

$isim = mysql_real_escape_string($_POST['isim']);
bu örnekte kullanıcı forma 'or''=' gibi zararlı bir sql ifadesi girdi diyelim.
db ye \'or\'\'=\' şeklinde geçirilecektir. yani zararlı olan ' karakteri önüne \ (ters slash) getirilerek sistemce zararsız hale getirilecektir.

Umarım Faydalı Olur.

Saygılarımla;
Yaşar Kemal D