Devo ricercare un record nel campo "cognome" di una tabella.
Ora l'untente inserisce il cognome da ricercare tramite webform (POST).

$sql = "SELECT * from utenti WHERE cognome=$cognome";

Leggendo i vari articoli e post sull'argomento sicurezza e SQL injection mi sono preoccupato di validare l'input e di impostare il magic_quotes_gpc.

Tutto bene, tranne quando il cognome ha l'apostrofo (D'Amico per esempio), in questo caso dovrei usare uno stripslash andando a perdere la protezione che mi garantiva il magic_quotes_gpc.

Come si procede in questo caso?

Grazie.