gracias,

sí, poner en un campo del formulario insert, update o cualquier palabra reservada sql y después enviarlo no hace ningún daño a nadie, todo depende de la sintaxis con la que se acompañe, pero me parecía evidente que es imprescindible utilizar cualquiera de estas palabras tarde o temprano para realizar un ataque.

en cuanto a addslashes ( string cadena ) me parece que la ventaja que tiene es que no devuelve ningún error y el atacante no puede estar seguro de lo que está ocurriendo.

pero lo que no comprendo -y es que todo esto se me da muy mal- es como llegan estas cadenas al servidor y en realidad que es lo que pasa cuando se aplica esta función.

por otra parte me pregunto que es mejor en estos casos utilizar lo más previsible, que siempre será lo más estudiado por los atacantes, o utilizar algo raro como propone MarioNunes.