Apoyo a la noción

yooom es importante "sanitizar" las distintas entradas a una consulta, si no, el usuario puede modificar dichas consultas.

El principio básico es escarpar el caracter ', ahora hay algunos motores como mysql, postgresql,etc. que debes escarpar una ' con \, pero otro motores como sql server o firebird que debes escarpar una comilla con otro comilla, a si que es buen punto a analizar.


Tambien es posible que tengas activados maqic quotes, esté módulo escarpa todas las entradas (GET, POST, lecturas de archivos , etc ...) aun que ahora (o pronto) va a estar "deprecated", lo mejor es siempre realizar el escarpado de carácteres.

Saludos.