Aunque parezca que el tema va en el foro de sql es aquí donde lo posteo porque sé más o menos como habría que hacer para evitar las sql injections: escapar las comillas simples poniendo \ delante de ellas. También hay funciones que lo hacen automáticamente . El problema es que cuando pinto la query me sale una consulta sql con las barras de escape delante y la base de datos no se la traga. Alguien me puede hechar un cable?