- Você não devia colocar um campo de formulário direto na SQL, um hacker pode manipular sua query!- Mas eu não faço isso! Primeiro eu coloco o campo em uma variável, depois a variável é que vai pra SQL!Quer comprar essa camiseta?