Cita:
Iniciado por Ronruby 
Eso no evita los ataques de inyección SQL en lo absoluto. Para evitar ese tipo de ataques es necesario que si la variable es numerica castearlo a int o si es una cadena usar mysql_real_escape_string
A lo que tu te refieres es que siempre trabaje con validacion de variables? Osea si yo espero que una variable solo traiga numeros primero antes de utilizarla que verifique que su contenido sea de tipo INT (por ejemplo) ???