インターネット上で Web アプリケーションのセキュリティ対策に関する記事をよく目にする。それだけセキュリティへの関心が高いということの現れだろうか。
数ある中でも、ココを押さえとけってところは 安全なウェブサイトの作り方：IPA 独立行政法人 情報処理推進機構 の 安全なウェブサイトの作り方 (PDF) だと思う。
あと、SQL インジェクションを起こす方法は SQL Injection Cheat Sheet | Netsparker が詳しい（英語）。
幾つかのサイトでは、SQL インジェクション対策にはエスケープをしましょうと書いてあるところがあるけれど、基本的にはバインド機能を使用すべき。バインド機能が使えない場合に限りエスケープを使う。
なぜエスケープよりもバインド使うべきかという理由は理解していないので、「なんでエスケープじゃいけないの？」と聞かれたら困ってしまうんだが。