sisi in effetti hai ragione... dovrò testare i vari casi e rendermi conto di come reagiscono.

oppure, ho visto che esiste questa funzioncina in php : mysql_real_escape_string();

ho provato, e và alla grande, si arrangia lei con i caratteri di escape (anche perchè non credo ci siano solo gli apici. anche le " danno problemi.). quindi evitando di scoprire tutti i vari problemi, mi affiderei ad essa.

ora quello che mi interesserebbe sapere è questo : visto che ormai ho già scritto decine e decine di query, e i dati da fare l'escape provengono tutti da POST/GET/SESSION, non mi basterebbe aggiungere questa funzioncina alla pagina generale (visto che per ogni sezione del sito carico sempre quella e a seconda degli include mostro varie zone) che mi codifica l'intero array della request? magari sarebbe più comodo...