La respuesta más corta a esto es hacer todo lo que OWasp le dice en su Cheat Sheet de SQL Injection Prevention
Esto no solo será válido en este momento, sino que también se actualizará con las últimas técnicas cuando las cosas cambien y se revelen nuevos ataques. Además de eso, OWASP cubre la seguridad en general, y la inyección de SQL es solo uno de los muchos ataques.
El saneamiento de las entradas de los usuarios (escapar de todas las entradas de los usuarios) no solo es una opción aquí, también es necesario para evitar ataques resultantes del código que no apunta directamente a la base de datos, sino que se activa cuando se devuelve a otros usuarios en un sitio web.
- ¿Alguien ha probado la aplicación de automatización de ventas eOrder?
- ¿Qué idiomas debo aprender para construir un sitio interactivo similar a Google+?
- ¿Son los archivos de imagen de más de 1 MB demasiado grandes para las aplicaciones web?
- ¿Por qué Twitter dejó de ser una aplicación de una sola página?
- ¿Qué partes de una aplicación web deben asegurarse con firmas digitales y qué partes están bien con hashes o MAC?
Por último, los mismos pensamientos también se aplican a las aplicaciones que no son web, aunque OWASP se concentra mucho en HTML / CSS / Javascript y sitios web en general. Entonces, al final, depende de cómo los datos sean utilizados por su interfaz, sin importar qué sea eso, cómo escapar de ellos para evitar daños a la base de datos y a otros usuarios.