cam ni daa
misal page
page.php?sql=<? $sql="update table user administrator='my name' and password"; ?>
kira jika source code ada $sql dia akan automatic guna variable $sql dan itu adalah sql injection.
Untuk mengelakan sql injection kena declare data type macam c tapi php tak support jadi kena declare sendiri
misalnya
$sql=sprintf(%d,$_GET['id]);
Kira id tu nombor guna %d
kalau string
sprintf($s,$_GET['message'];
kalau nak sempoi lagi guna magic quote