A injeção de SQL é melhor resumida por este quadrinho : bobby-tables.com explica como se defender contra isso em vários idiomas.
