Ok, le stringhe vengono quindi processate così prima di essere passate alla query:
Codice PHP:
$stringa mysql_real_escape_string(htmlspecialchars($stringa)) 
Devo fare così anche per i file che vengono uploadati, oppure basta un addslashes()?