Hola, buenas, estaba pensando en un método para evitar el SQL injection, en especial para variables del tipo nombre y apellidos, se trata de lo siguiente:
Código PHP:
$apellido=mysql_real_escape_string(strtr($apellido,'";\'/%',"11111"));
lo que hace es sustituir las comillas y comillas dobles, puntocoma, barra y signo del porcentaje por el número 1, en caso de aquellos apellidos que tengan como valor "O'hara" se convertirá en O1hara y se añadirá a la base de datos.
Cuando se quiera leer ese valor de la tabla se volverá a reconvertir por JAVASCRIPT el 1 por la comilla.
¿lo veis eficaz? ¿voy por buen camino?