Hola
¿Sería aconsejable aplicar a todas las variables $_POST y $_GET que entren de formularios o a través de la URL a las consultas sql la función mysql_real_escape_string() para evitar SQL inyection?
p. ej.:
$id=$_GET["id"];
$sql="SELECT * FROM tabla WHERE id='".mysql_real_escape_string($id)."'";
la consulta anterior sería lo mismo así:
$sql="SELECT * FROM tabla WHERE id=`$id`";
o así:
$sql="SELECT * FROM tabla WHERE id=`{$id}`";