Изучаю тему SQL запросов в php.
Ради интереса решил попробовать потестить распространенные SQL-инъекции на местных и неместных сайтах и был удивлен количеством дыр, в которые их можно применить.
Например, вот такой сайт http://www.abfitness.ru на запрос в поиске search%' AND LIKE '%search выдал свои внутренности с потрахами.
http://www.santesport.ru/catalog/?node=248 - аналогично
http://www.ivolga.ru - аналогично.
Вот такие ошибку не выдали, но сдохли также мгновенно - http://meblior.ru/
http://vip-odor.ru
http://www.bartersib.ru
http://avega.rosbizinfo.ru
На деле 7-10% новосибирских сайтов, снабженных поиском, подвержены таким инъекциям.
Сабж. Какими способами кроме mysql_real_escape_string() вы защищаетесь от инъекций?