Inyección SQL exitosa a pesar de las citas mágicas de PHP
Siempre he leído que Magic Quotes no detiene las inyecciones de SQL, pero no puedo entender por qué no. Como ejemplo, digamos que tenemos la siguiente consulta:
SELECT * FROM tablename
WHERE email='$x';
Ahora, si la entrada del usuario hace$x=' OR 1=1 --
, la consulta sería:
SELECT * FROM tablename
WHERE email='\' OR 1=1 --';
¡La barra invertida será agregada por Magic Quotes sin ningún daño hecho!
¿Hay alguna forma en que no veo dónde el usuario puede omitir las inserciones de Magic Quote aquí?