Evitando SQL injection en formularios HTML y PHP

Los formularios HTML que conectan a PHP con mySQL siempre son un dolor de cabeza en seguridad, puesto que muchas veces quedan expuestos a ataques de SQL injection. Aquí enseño una forma simple de solucionar este problema mediante dos funciones en PHP:

• htmlspecialchars
• srt_replace

Veamos un ejemplo en código:

Imagen 1: A cualquier parámetro que estemos recibiendo mediante un formulario debemos pasarlo por dos funciones esenciales: 1) htmlspecialchars() encargado de convertidas caracteres especiales a formato HTML. 2) uso de la función str_replace(valor_a_remplazar,valor_que_lo_reemplaza,cadena_enviada_en_formulario), en este caso reemplazamos (eliminados en realidad) cualquier carácter de comillas simples ' que el usuario introdujo en el formulario.

Con este estamos evitando la introducción del famoso 'or 1=1 que produce este error:

Imagen 2: Error que se muestra al introducir en el formulario el valor 'or 1=1 el cual indica que vulnerabilidad por inyecciones SQL.