mysql_real_escape_string deprecato

[.Kurt]

Ma come faccio a togliere i backslash aggiunti dalle magic quotes, come dici tu, prima di passare i valori a mysqli_real_escape_string ? come minimo devo controllare se la magic quotes sono attive, giusto?

L'esempio te lo ha fornito arkus. stripslashes per togliere i backslash aggiunti e indesiderati. Ma come ti ho detto nel tuo codice non devi preoccuparti di trattarle. Se trovi un hosting in cui sono attive allora semplicemente disabilitale. Inoltre da php 5.4 non esistono neanche più. C'è un limite per quanto ti devi preoccupare per mantenere il tuo lavoro compatibile con le vecchie versioni di php.

e qui interviene il codice da me postato all'inizio

Quello che hai postato tu non ha significato: nel caso in cui le magic quotes sono attive effettui l'escape con mysqli_real_escape_string, nel caso in cui non lo sono effettui comunque l'escape con mysqli_real_escape_string. Capisci bene che così la condizione perde significato, perché in entrambi i casi effettui la stessa operazione.

[LucianoS]

ora mi è più chiaro, come l'esempio da php.net.

Domanda: un controllo simile a quell'esempio (o comunque una passata di mysqli_real_escape_string) deve essere fatto anche se subito dopo c'è una espressione regolare che controlla se il valore sia esattamente (a-zA-Z-1-9\') ?

Inoltre, secondo te ha senso fare una cosa tipo che se le magic sono attive:
stripslashes(htmlentities($_POST['variabile']))
o basterebbe solo htmlentities() ? Parlo di cose che non devono essere inserite nel db ma solo inviate per email o stampate a video