Cita: Es muy facil poner la injeccion como ya debes saber. Y para eso se usa la variable para poder convertir eso a una cadena valida en mysql.
Si bien seria mas rapido poner $_GET['var'] directamente en tu sql, no es lo mas conveniente por lo señalado.
Esa conversión también la puedes hacer directamente sobre el array $_GET. Supongamos que el servidor tiene desactivadas las "magic quotes" y necesitas aplicar la función addslashes() a los valores enviados:
Código PHP:
if(!get_magic_quotes_gpc()){
foreach($_GET as $key => $value){
$_GET[$key] = addslashes($value);
}
}
Y luego continuas usando directamente $_GET['algo'] en la sentencia SQL
