] हालाँकि, जैसा कि uri2x द्वारा इंगित किया गया है, यह उपाय अपर्याप्त है। इंजेक्शन हमले। उदाहरण के लिए, निम्न कोड अभी भी कमजोर हो सकता है:

$ ईमेल = mysqli_real_escape_string ($ db_con, $ _post ['ईमेल']); $ क्वेरी = "चयन करें * उन उपयोगकर्ताओं से जहां ईमेल = '"। $ ईमेल। ""; तैयार किए गए कथनों

के बजाय "mysqli_real_escape_string ()", SQL इंजेक्शन को रोकने का सबसे प्रभावी तरीका तैयार बयानों को नियोजित करना है। तैयार किए गए स्टेटमेंट क्वेरी स्ट्रिंग से अलग डेटा, डेटा संदूषण को रोकते हैं। $ stmt-> bind_param ('ss', $ ईमेल, $ psw); $ ईमेल = mysqli_real_escape_string ($ db_con, $ _post ['ईमेल']); $ psw = mysqli_real_escape_string ($ db_con, $ _post ['psw']); $ stmt-> निष्पादित (); इसमें यह सुनिश्चित करने के लिए फ़िल्टरिंग इनपुट शामिल है कि इसमें केवल अनुमत वर्ण शामिल हैं। तैयार बयान और सख्त श्वेतसूची इन हमलों के खिलाफ अधिक मजबूत सुरक्षा उपाय प्रदान करते हैं।