Originariamente inviato da mark2x
Fare l’escape significa far precedere al carattere “ ‘ “ ed altri caratteri un backslah
no, fare l'escape significa usare esattamente le funzioni apposite di escape quali:

mysql_escape_string
mysql_real_escape_string
sqlite_escape_string
pg_escape_string
e via dicendo


quella di mettere gli slash è un'altra possibile falda per le sql injections, poichè non è detto che ad ogni db basti lo slash, in sqlite ed in postgres ad esempio questo
'

diventa questo

''

funzione di escape, non è un double quotes ed è l'unico metodo giusto per fare escape di stringhe.


Il resto non l'ho approfondito ma complimenti per l'iniziativa, questa era solo una precisazione