kech

Podrías iniciar un nuevo tema .. pero bueno .. para que empieces dos consejos:

1) Usar comillas simples cuando hagas referencias a variables de PHP:

No correcto o posible "SQL inyectión" ...
SELECT * FROM tabla WHERE campo=$algo

Usar:
SELECT * FROM tabla WHERE campo='$algo'

2) Y a la opción 1) usar:
$algo = mysql_escape_string( $algo );
antes de hacer tu query (consulta) ...

Por lo demas .. mysql_query() sólo ejecuta una sentencia SQL por línea .. así que un "SQL inyectión" típo :

algo"; DROP DATABASE mysql
(o cualquier instrucción SQL despues de ; .. no se ejecutaría ..)

Otro detalle .. la directiva magic_quote_gpc afecta a estos resultados .. Es más si está a ON (lo típico) ya se añaden los \ (caracteres de escape) a las ' (comillas simples o dobles) potencialmente peligrosas .. Pero si está a OFF .. pasaría a la sentencia SQL desde un URI o formulario (Campo) como ' y no cómo \' que es lo que hace magic_quote_gpc a ON o usando la función mysql_escape_string() e incluso addslashes() ...

Un saludo,