hola a tod@s,

estoy tratando de filtrar las entradas de usuario para prevenir inyecciones SQL.

me planteo dos opciones:
- emplear la funcion mysql_real_escape_string
- filtrar la entrada con lista blanca (crearme mi propia funcion para permitir sólo determinados caracteres)

mi pregunta: 'mysql_real_escape_string' es completamente segura o aún hay ciertos tipos de inyección que se la puden saltar? (empleo php y mysql)


muchas gracias.
jorge.