สอบถามเรื่องการป้องกัน sql injection

[nuningplus]

การใช้ฟังก์ชั่นใน php 2 แบบนี้ สามารถป้องกันการทำsql injection ได้อย่างมีประสิทธิภาพหรือยังครับ
1. ใช้ mysql_real_escape_string();
2. ตรวจสอบค่าที่ส่งมาโดยใช้ Regular expression

ใครมีเทคนิคที่ดีกว่านี้หรือพอจะมีลิงค์ให้ผมไปศึกษาต่อช่วยแนะนำด้วยครับ

ขอบคุณมากครับ

[Maxio]

ลองลิงค์นี้ครับ

http://stackoverflow.com/questions/60174/best-way-to-prevent-sql-injection-in-php

[mean]

ผมเห็นท่านนี้เขียนไว้น่าจะเป็นประโยชน์ครับ
http://auntitled.blogspot.com/2010/08/php-magicquotesgpc-and-sql-injection.html

[kanin03]

ลองดูนี้หรือยังครับ

http://php.net/manual/en/function.mysql-real-escape-string.php

[ball6847]

register_globals ปิดไปเลย
magic_quotes_gpc ปิดไปเลย แมนนวลเองให้หมด

อันไหนเช็ค length ได้ก็เช็ค จำกัดความยาว ยิ่งปล่อยให้ส่งค่ามาได้ยาวเท่าไหร่ยิ่งเปิดโอกาส
ค่าตัวเลขให้ cast เป็น int ซะ ผ่าน type casting หรือฟังก์ชั่น intval หรือ validate ด้วยคำสั่ง is_numeric ก่อน
ค่าที่เป็น string ต้องผ่าน mysql_real_escape_string ก่อนใส่ใน sql
คำสั่ง like ต้องผ่านการ escape pattern (อันนี้ไม่เกี่ยวหรอก)

หรือใช้ active record , ORM หรือ NoSQL 5555

ผมรู้แค่งูงูปลาปลา แต่เวลาทำงานก็โรคจิตพอสมควร

[nuningplus]

ขอบคุณทุกท่าครับ +1 เรียบร้อย