Cita:
Iniciado por talcualvip 
con eso lo que le dices es q todos los datos que van entrando al mysql son datos de tipo string y y por lo tanto no existira problemas porque este no ejecutara el codigo sql que este presente en dentro de las ' ' comillas simples bueno a mi funca no se a los demas saludos
Pero, si pongo en tu formulario:
' OR 1=1;# tu consulta podria quedar como (ejemplo):
SELECT * FROM users WHERE user='admin' AND password='' OR 1=1;#'
A menos que magic_quotes_gpc este activado.