Le aplica la función
security() a la SQL, entonces tu query se debe ejecutar algo así:
Query como es enviada:
Código SQL:
Ver originalINSERT INTO staff (nombre) VALUES ('<script>alert();</script>')
Query resuelta por la función security()
Código SQL:
Ver originalINSERT INTO staff (nombre) VALUES (\'<script>alert();</script>\')
Donde se escapan los caracteres como la comilla simple (').