Quería comentar un poco una duda que tengo sobre ese gran 'miedo' de los webmasters al SQL INYECTION en cuestiones de seguridad de un sitio web.

Primero decir que he estado hojeando algún que otro texto sobre este tema y me entró el 'panico' xDD y me puse a hacer algunos ejemplos con PHP y MySQL...

pero mi sorpresa fue cuando vi que al recibir un campo de texto pasado por un formulario por la variable global $_POST viene ya escapada, es decir, con los caracteres de escape correspondientes y que sirven para detener un posible 'ataque de un hacker', para detener algún código maligno que se sirva del peligroso apóstrofe ('), las comillas (") o el backslash (\) al ejecutar una consulta SQL.

Por ello, qué peligros hay entonces con el mítico password ' or ''='' ?

Es que acaso estoy con una versión de PHP, o de Apache... que subsane la mayoría de estos posibles fallos de seguridad...? es que las versiones antiguas de PHP eran más dificiles de programas en cuanto a seguridad de los sitios web?

Hasta luego, y gracias.