Prepare kullanın: https://www.w3schools.com/php/php_my...statements.asp
prepare kullanmayacaksanız: mysqli için real_escape_string, pdo için quote kullanın