apparentemente è meno grave di quanto può sembrare perche di solito nel php.ini hai i magic quotes attivi:
codice:
magic_quotes_gpc = On
questa impostazione aggiunge un backslash ad alcuni caratteri potenzialmente dannosi come l'apice o le virgolette, rendendo inutili alcuni tentativi di attacco.
ciò non risolve comunque il problema: l'idea alla base di tutto, da applicare sempre e comunque, è che ogni input dell'utente deve essere controllato, filtrato, validato. se i magic quotes vengono per qualsiasi motivo disattivati, non hai piu questa (apparente) protezione.


---
edit:
attenzione che comunque con i magic_quotes o con le funzioni addslashes(), mysql_escape_string() e simili, non tutti i caratteri "pericolosi" vengono preceduti dall'escape, ad esempio il carattere % che si può utilizzare con le query LIKE