Cita:
Iniciado por PJ100 
Pero por ejemplo, supongamos un formulario con un campo de texto y uno para foto.
Como tu dices en esta frase:
en todo caso si asignas una valor introducido por el usuario deberías validarlo mucho antes de almacenarlo, y no al momento de utilizarlo... he ahí el detalle!!
$texto=formato_correcto($_POST['texto']); //función de validación
$nombrefoto=$_FILES['archivo']['name'];
$usuario=$_SESSION['usuario'];
$sql="INSERT INTO album (texto,foto,usuario) VALUES ('".mysql_real_escape_string($texto)."','$nombrefo to"','$usuario');
¿Es eso a lo que te refieres?
definitivamente.... y aún así está de sobra
mysql_real_escape_string() ya que se asume que tu función
formato_correcto() previene el formato, digamos que solo permites letras, números y espacios, con lo cual dicha función de escape no ayudaría en lo absoluto...
en general dicha función de escape debes utilizarla en datos que realmente no deseas controlar, o bien se sale de tu control... por ejemplo para el comentario de un libro de visitas tienes dos alternativas: escapas el contenido, o lo filtras... que no son la misma cosa... ;)