hola pues sabandija igual ke vos pienso ke tampoco se habia discutido lo de las comillas simples si he visto mucho de los comandos y el sql injection pero he hecho priuebas y solo con reemplazar la comilla simple y la doble ya las demas quedan sobrando proqeu se convierten en string.. no se si sea incorrecto lo que digo pero es lo qeu pasa en mis pruiebas. creo qeu es suficiente con reemplazar las comillas simples, dobles y --, esperemos alguien mas de su opinion porque creo qeu habran opiniones encontradas.