[supersaibal]Originariamente inviato da mircov
Quell'articolo l'ho già letto però avrei voluto anche un vostro parere visto che è abbastanza generale.

Quindi, da quello che ho capito, per proteggere il db basta che metta davanti ai caratteri potenzialmente pericolosi un carattere di escape? [/supersaibal]
Dipende dal tipo di dato e dal database.

Nel tuo caso non c'è molto da fare:
- o impedisci l'inserimento di alcuni caratteri, andando quindi a "tagliare" alcune cose, e probailmente non è ciò che vuoi
- o fai attenzione ad utilizzare l'escape correttamente

In linea di massima se fai un controllo per togliere gli slash dati dal magic_quotes e se usi sempre le funzioni specifiche del tuo database per l'escape, non dovresti avere problemi.
Nel caso di SELECT con LIKE invece, devi valutare se l'eventuale passaggio di % o _ sia pericoloso o meno, per cui in quel caso decidi se lasciarli passare o toglierli.