Hola matiD,

No es que sea inseguro, de hecho es seguro, pero es mejor que tu como programador hagas esa tarea a asumir que PHP lo va a hacer ya que no todos los servidores tienen la directiva activada/disponible. Otro problema es que a partir de PHP6 esta caracteristica sera desactivada y no existira, y si programas asumiendo que si, te va a traer dolores de cabeza al migrar a PHP6.

Por otro lado usando magic_quotes PHP escapa todos los datos que vienen por Get, Post, Cookie, etc. Por lo que hablando en rendimiento hacer que tus scripts sean mas lentos por lo que siempre es mejor escapar los datos que realmente vas a necesitar.

Saludos.