Добрый день.
Допустим, есть вот такой запрос:
$query="select * from  <Некая таблица> where <Какое то поле>='$email'";
$email вводит пользователь. Теоретически он может ввести все что угодно. В том числе что то вроде того:
<Всякая фигня>'; <Своя SQL-инструкция>;  select * from <Какая то таблица >where <Какое то поле>='
Тогда получиться, что выполнятся еще и инструкции юзера, например, он может впихать туда добавление юзера с админскими правами.
Как от этого защититься в данном случае?
Может, тупо провеять на наличие пробелов и выдавать сообщение, что емалов с пробелами быть не может?
Акстати, могут ли быть емалы с пробелами?

mysql_real_escape_string()

Напиши запрос добавления юзера с админскими правами? Будь мужиком...

кавычки экранировать

(1) спасибо
(2) кстати, я писал как то запрос добавления юзера в сайт на джумле. Правда, не с админскими правами, но все же.

В общем, по ходу дела, надо так делать:
        $l_email=mysql_real_escape_string($email);
        $query="select * from  <Некая таблица> where <Некое поле>='$l_email'";

что касаемо е-майла - его в любом случае стоило бы проверить на правильность ввода

юзать PDO

если нравится велосипедить, то можешь проверять.
А вообще есть куча простых фреймворкох, в которых все сделано и защита от инъекций, и проверка на корректность введенных данных. Причем гарантировано, но мы же не ищем легких путей.

(0) гуглить

(8) в интернете никто ничего не гарантирует

(10) и поэтому надо использовать устаревшие функции, надеясь на авось?

1. Проверять и чистить входные данные;
2. Использовать параметризованные запросы;
3. Проверять результат.

Или воспользоваться готовой ORM-библиотеку

(1) real? У них что, еще и unreal_escape_sring() есть?

Регулярным выражением regexp проверять что введенная строка это емэйл

(14) написать регулярку, соответствующую RFC, занятие не для слабых

(15) не нужно писать, нужно найти

(16) тоже занимательное занятие. Рекомендую попробовать

(0) скажи для чего пишешь? для интернет магазина?

(16) Вот именно нужно найти функцию, которая проверяет валидность email, а не изобретать опять велосипед.

(19) нужно найти cms под нужды ТС, а не изобретать велосипед.

(20) давно было пора

(20) Да даже если он делает не магазин, нужно было уже давно выбрать  какой нибудь инструмент и делать.

(0) Я вот как увижу у тебя сайт в профиле.
Буду в каждое поле, а не только в емайл вставлять запрос на добавление пользователя с админскими правами.
Так что ты попал )))

(23) спалил тему.....

(0) Ты, я знаю, легких путей не ищешь, так что вот тебе вариант: храни в БД это барахло в зашифрованном виде - хоть ксором по какой-нибудь строке. В результате угадать, что конкретно тебе подсунуть такое, что после этого шифрования станет SQL-инъекцией, будет практически не возможно.