Cita:
Iniciado por pateketrueke 
El primer error que cometes es construir la consulta de SQL a mano, a partir de ahí todo lo que hagas será un error tras otro si lo sigues haciendo igual.
Lo ideal es que uses PDO (o MySQLi) y sus prepared-statementes, básicamente un método llamado prepare() en ambas librerías.
Así evitas construir el SQL a mano y te evitas problemas de SQL-Injection.
Cualquier otra "solución" es pérdida de tiempo.
Realmente solo con eso evitas toda inyección sql posible?, no he tocado apenas ese tema, pero me sorprende bastante, que hace esa función exactamente y como funciona para hacer eso posible sin ninguna otra medida?