Você está trabalhando com PHP, certo? Ou qual seja a linguagem que esteja usando, é só adaptar pro caso específico.
Quando vc vai gravar dentro de um banco de dados, vc precisa primeiro "sanitizar" seus dados. Isso significa verificar todas as strings que vc recebeu do usuário e substituir sequências de caracteres que possam criar problemas nos comandos.
Neste link tem uma explicação do que é "sanitizar os dados":
http://bobby-tables.com/Escola: Olá, aqui é da escola do seu filho. É que nós estamos tendo alguns problemas nos computadores.
Mãe: Oh, Deus... ele quebrou alguma coisa?
Escola: De certa forma. Você realmente deu ao seu filho o nome Robert'); DROP TABLE Students;--?
Mãe: Ah, sim. Betinho Tables, é como nós o chamamos em casa.
Escola: Bem, nós perdemos todos os registros escolares deste ano. Espero que você esteja contente.
Mãe: E eu espero que você tenha aprendido a sanitizar suas entradas de dados.
Observe que a sanitização não é só pro banco de dados, mas também pra proteger o navegador do usuário que acessa seu sistema. Uma pegadinha clássica é embutir um código HTML dentro da página e induzir o usuário a executá-lo, abrindo a página.
Tipo... --></form></table><script lang="javascript">alert("Este alerta nunca deveria ser executado");</script>
Se ao invés de ver a string que eu digitei vc receber uma janelinha pulando em seu navegador, é sinal de que o pessoal do forum não fez o dever de casa (mas eu tenho confiança na galera
).
