Всем доброго времени суток. Как можно защититься от SQL инъекций? Уже если честно запутался, много чего прочитал, но каша в голове... Где то написано что mysql_format нужно использовать, где то что спецификатор %e ну и тд..

mysql_format юзай просто и всё)

спецификатор %e и используется в mysql_format, правильно ты прочитал, форматируй через mysql_format только вводимые данные полученные от игрока

Там, где число символов строго ограничено и нет возможности ввести что-то лишнее или же введённые данные конвертируются, например, в число, перед записью в запрос, защищаться от инъекций не нужно.

Так же не нужно защищать от инъекции уже проверенные данные (например, если у вас есть ограничение на символы в пароле, исходя из которого можно использовать лишь цифры и буквы - нет смысла что-то ещё экранировать, ибо игрок не сможет ввести "=").

Ну а по поводу mysql_format И спецификаторов говорили в соседней теме (http://pro-pawn.ru/showthread.php?15040-e-%D0%B2-mysql_format).