Доброй ночи, начал изучать php, столкнулся с проблемой иньекций. Ломаю голову как можно фильтр string запросу сделать...

$_POST["queryString"] нужно как-то очистить, т.к подсовывают гадости.

// [queryString] => KFNFTEVDVCAoQ0FTRSBXSEVOICgxNDIyPTMzOTMpIFRIRU4gMSBFTFNFIChTRUxFQ1QgMzM5MyBVTklPTiBTRUxFQ1QgNjc4MikgRU5EKSk=
// MSUnIE9SIE5PVCBPUkQoTUlEKChTRUxFQ1QgQ0hBUl9MRU5HVEgoaWQpIEZST00gcGFuZWxjcDE1OTAuaXNwX3VzZXJzIE9SREVSIEJZIGlkIExJTUlUIDIsMSksMSwxKSk+NTEgQU5EICdyd1lHJSc9J3J3WUc=
// u0044%u0020FROM T
// 1%'/**_**/OR/**_**/NOT/**_**/ORD(MID((SELECT/**_**/CHAR_LENGTH(id)/**_**/FROM/**_**/sitedb.isp_users/**_**/ORDER/**_**/BY/**_**/id/**_**/LIMIT/**_**/
// MzA1OS0zMDU4

тоесть кодируют и тд
$_POST["queryString"] по хорошему должен принимать запросы поиска по форуму.

Возьмите за правило для любого ввода от пользователя типа поиска использовать:
- обработку строки при помощи https://www.php.net/manual/ru/mysqli.real-escape-string.php
- в совокупности с подготовленными запросами https://www.php.net/manual/ru/mysqli-stmt.prepare.php

_____________
Стимулятор ~yoomoney - 41001303250491

Используйте real-escape-string перед запросом.

$queryString = $mysqli->real_escape_string($_POST["queryString"]);

P.S. Пока писал - уже ответили.

а если еще старый mysql, не mysqli