¿Cómo evitar la inyección SQL en PHP?