Cita:
Iniciado por Znet De hecho trabajando en mi pc con una base de datos de MSSQL y aun usando las funciones que nombras, logre borrar tablas de mi base de datos simplemente usando esto ' ; drop table TABLA --
No creo que hayas podido borrar las tablas de tu base de datos usando esa cadena, porque simplemente addslashes() te la hubiese vuelto obsoleta.
No quiero despreciar tu trabajo, pero creo que lo que estas haciendo es innecesario. Por mas bueno que este.
O sea, nose si me explico, si en tus consultas encerras la variable que llega externamente, entre comillas simples, al usar la funcion addslashes(), ya no hay manera de que interrumpan esa cadena, para modificar la query original.
Ahora si en los campos numericos no usas esas comillas simples, al menos chequea que es numerico con la funcion is_numeric()
Con eso ya no vas a tener problemas de SQL Injection.