Cita:
Iniciado por Adell 
pero si los caracteres estan escapados no deberia funcionar bien?
edito: entiendo el punto, pero que sugeris para corregirlo?
De esta forma... NO.
Se debe escapar los valores, no la query entera.
ejemplo:
Código PHP:
Ver original$mysql->query("INSERT INTO staff (nombre) VALUES ('".$mysql->security("<script>alert();</script>")."')") or
die(mysql_error());
obviamente, se debe quitar la ejecución de
security() en la función
query() (
$sql = $this->security($sql);)