Hola chic@s me he leído varios de los mensajes de este mismo foro, y algunos artículos al respecto, pero aún me persigue la duda de que tan segura es mi forma de intentar evitar este tipo de ataque.

Mi problema es que mi sistema, debe aceptar por medio de formularios, textos que escriben los usuarios. Mi primer paso es filtrarlos dejando pasar caracteres comunes al momento de escribir (con ereg) tales como el punto, la coma, las comillas simples y dobles, etc.. A su vez, tengo la directiva magic_quotes_gpc en On.

Mi pregunta es: ¿Es suficiente mi metodología para evitar el SQL Injection?
En el caso que no sea suficiente: ¿Me podrían indicar que cosas debería tener en cuenta para evitarlo?

Les agradeceré mucho sus opiniones y ayudas.
Saludos!

PD: uso MySQL.