Как защититься от SQL-инъекций?

Основной способ – использовать параметризированные запросы (Prepared Statements), где данные передаются отдельно от SQL-кода. Переменные привязываются к запросу, и СУБД не трактует их содержимое как часть команды. Также важна валидация и экранирование ввода: проверять формат (например, допускать только цифры в ID) и удалять/заменять опасные символы (кавычки, точку с запятой) там, где необходимо. Наконец, стоит ограничивать права пользователя БД: даже если случится инъекция, аккаунт приложения не должен иметь прав на destructive-команды за пределами своей области.