Cuando un usuario envia datos a un script con una sentencia SQL siempre puede resultar peligrosos q entre esos datos incluya caracteres como las dobles comillas (") o las simples (') q puedan entremezclarse con la verdadera sentencia SQL para obtener otros datos diferentes a los q en un princio deberia
Como compruebo esto??