Código PHP:
function mysql_escape($cadena) {
if(get_magic_quotes_gpc() != 0) {
$cadena = stripslashes($cadena);
}
return mysql_real_escape_string($cadena);
}
$variable = mysql_escape($_GET['var']);
mysql_query("UPDATE users SET columna = '$variable'");
Esto estaría bien así para evitar inyección post,get etc... ?