No lo he probado, pero creo que deberias solucionarlo de esta manera ...
Usando la funcione mysql_escape_string($variable)
Ejemplo
Código PHP:
<?php
$item = "Zak's Laptop";
$item_escapado = mysql_escape_string($item);
printf("La cadena escapada: %s\n", $item_escapado);
?>
Resultados
Cita: La cadena escapada: Zak\'s Laptop
Lo saque de aqui...
http://ar2.php.net/manual/es/functio...ape-string.php
Pero tengo entendido de que hay otra funcion que no te cambia el contenido de la variable .. en este caso " ' " por " \ ". Espero que te sea de utilidad, pero por lo pronto varias personas han intentado hacerle inyecion a mi codigo, pero no ha dado resultado. Segun mi criterio al momento de hacer la consulta podria hacer una comparacion de los resultados arrojado por la query y las variables que me trae el formulario ... date una idea de que no se puede hacer una inyecion en el codigo, ya que si lo hace, en mi DB yo no tengo datos cargados como este : id = 0, usr = "' union select * from usuarios" Asi por lo tanto nunca van a ser = y el intruso nunca tiene acceso ... me parece que de ese modo no tendrias que tener problemas ... Espero haberme explicado. Saludos
te invito a que lo pruebes :
http://www.academiashtar.com.ar/admin