PDO を使用してパラメータ化されたクエリを使用することを検討してください たとえば。
または、変数を角かっこ{}で囲みます。
編集:
あなたの変数$subjectを見逃しました 含む 一重引用符。これはあなたがそれらを脱出する必要があることを意味します。 (他の無数の回答とmysql_real_escape_string()を参照してください これについて。)しかし、ご覧のとおり、変数内の一重引用符は、インジェクション攻撃がどのように機能するかを正確に示しています。それらをエスケープすると、このような問題を防ぐだけでなく、クエリで期待されるデータを保存できるようになります。
Bobby Tables を参照しないと、インジェクション攻撃に関する回答はありません。 。