|
Не желательно фигурировать у клиента истинными именами полей sql-таблиц.
Вставлять в базу данные пришедшие извне предварительно необработанными mysql_real_escape_string() для строковых значений, или приведенных к integer для числовых, это значит 100% инъекция.
Сперва исправьте это.
|