Holas que tal, se que el Tema de SQL Inyection se ha rehablado muchas veces en el foro, tengo una pequeña duda, ya que he tenido que operar con Servers con magic_quotes_gpc activadas o no.

Si tengo activadas las magic_quotes_gpc , para todo tipos de consultas donde tomemos variables entrantes (POST y GET) ¿ No es necesario usar mysql_escape_string() ? (ya que los " y ' ya vienen con su respectivo slash).

Ya que aplico mysql_escape_string a los datos externos (POST,GET) a las consultas, cuando trabajo con magic_quotes_gpc OFF , tambien le aplico mysql_escape_string a toda consulta con datos internos (variables del script o variables extraidas desde bd,fichero de text, etc ... )


Saludos