Для защиты от SQL-инъекций в textarea и вводимых в input запросов можно использовать параметризованные запросы или подготовленные операторы, в зависимости от используемой базы данных и языка программирования.
Параметризованные запросы позволяют передать значения параметров отдельно от запроса и избежать встраивания пользовательского ввода непосредственно в запрос. Вместо этого, значения параметров подставляются в запрос в безопасном формате.
Пример работы с параметризованными запросами в языке PHP и базе данных MySQL:
```php
// Получаем значение из textarea
$content = $_POST['textarea'];
// Подготавливаем запрос с параметрами
$query = $pdo->prepare("INSERT INTO таблица (поле1) VALUES (?)");
// Привязываем значение параметра и выполняем запрос
$query->execute([$content]);
```
В данном примере переменная `$content` содержит значение из textarea, которое безопасно вставляется в запрос с использованием параметра `?`. Затем, значение параметра привязывается к запросу с помощью метода `execute()`.
Для экранирования SQL-запросов вводимых внутри input можно использовать функцию `mysqli_real_escape_string()` в языке PHP в сочетании с подготовленными операторами или параметризованными запросами.
Пример работы с функцией `mysqli_real_escape_string()`:
```php
// Получаем значение из input
$title = $_POST['input'];
// Экранируем значение
$escapedTitle = mysqli_real_escape_string($connection, $title);
// Подготавливаем запрос
$query = "INSERT INTO таблица (поле1) VALUES ('$escapedTitle')";
// Выполняем запрос
mysqli_query($connection, $query);
```
В данном примере переменная `$title` содержит значение из input, которое экранируется с помощью функции `mysqli_real_escape_string()`. Затем, экранированное значение вставляется в запрос.
Обратите внимание, что использование подготовленных операторов или параметризованных запросов считается более безопасным, так как они предотвращают SQL-инъекции более надежно.