Siempre he leído que Magic Quotes no detiene las inyecciones de SQL, pero no puedo entender por qué no. Como ejemplo, digamos que tenemos la siguiente consulta:

SELECT * FROM tablename
  WHERE email='$x';

Ahora, si la entrada del usuario hace$x=' OR 1=1 --, la consulta sería:

SELECT * FROM tablename
  WHERE email='\' OR 1=1 --';

¡La barra invertida será agregada por Magic Quotes sin ningún daño hecho!

¿Hay alguna forma en que no veo dónde el usuario puede omitir las inserciones de Magic Quote aquí?