Cita: Bueno al tema, mira los de lo de validar el campo es algo raro eh estado practicando con eso pero aun no entiendo a gran escala que hace...
Validar los datos que el usuario ingresa no es algo raro y debería ser el primer paso.
Esto no es más que si por ejemplo tienes un campo para que usuario escriba su teléfono, compruebes que se ha introducido un teléfono válido.
Si tienes un campo nombre que sea un nombre válido, por ejemplo un nombre hispano no debe contener comillas, números, símbolos matemáticos, guiones, etcétera... solo los caracteres del del alfabeto por ejemplo.
Si se introduce algún dato no válido detenemos el Script y retornamos el error si corresponde. Impidiendo ejecutar el resto del código o la sentencia en cuestión.
Cita: Oye y a que te quieres referir con esta parte "Igualmente que establezcas la codificacion de caracteres de la conexion con la base de datos de forma adecuada y explicita para que tanto la base de datos como php esten en concordancia, piensa que muchas de las funciones de escape como mysqli_real_escape_string() realizan su funcion en base a la codificacion establecida en la conexion que se le pasa."
Esto se refiere a que si la base de datos es UTF8 pero la conexión desde php se establece en latin1 por ejemplo las funciones de escape como mysqli_real_escape_string y demás van a escapar los caracteres para latin1 en lugar de UTF8.
Puedes ver más información
aquí Cita: Y una ultima cosa, he tratado de hacerme una INYECCION SQL, y me sale este mensaje .. Eso quiere decir que estoy siendo vulnerable o que "Fatal error: Uncaught PDOException: SQLSTATE[42000]: " Gracias por la ayuda.
Lo más probable es que si, si haces una injeccion y obtienes un error de sintaxis algo no estas haciendo bien.