hey triby, es un buen punto este del sql inyector, he hecho algunas pruebas y hasta donde se el $_post al parecer añade \ a todos los signos que podrian significar algun peligro, y si en un caja de texto pongo alex' or 1=1 -- entonces el $_post los pone alex\' or 1=1 -- y ya no hay problema,

pregunta hay algun otro caracter q signifique una amenaza y el $_post no me ayuda???;

de todos modos voy mas a fondo con el

mysql_real_escape_string

gracias por los consejos