Cita:
Iniciado por pateketrueke 
Los prepared statements sirven exactamente para escapar tus variables automáticamente.
El enlace al manual que te he colocado tiene toda la información que buscas, y además se lee en menos de 5 minutos, está perfectamente bien explicado y en español.
Si no tienes el tiempo para aprender menos para resolver tus problemas.
Gracias, el enlace que me has dado es de pdo, y he cambiado a mysqli.
Elegí mysqli porque era lo más parecido a mysql.
Quiero hacer los cambios menos posibles, se trata de cientos de paginas, aunque de momento estoy tocando solo la pasarela, como he estado trabajando con ella y prefiero no volver a tocarlas.
El tiempo me aprieta, pero lo tengo que hacer, y prefería leer sencillo para dummies viejas como yo.