PHP protegiéndose de las inyecciones SQL?

Cuando envío");-- desde un campo de entrada a mi servidor PHP localhost, lo convierte AUTOMÁTICAMENTE a

\ "); -

Parece genial, excepto que no sé cuán confiable es este comportamiento. Aunque parece evitar las inyecciones de SQL, mi entorno de desarrollo no es el mismo que el entorno de producción y me temo que el entorno de producción puede no tener este tipo de protección activada automáticamente ...

Por qué PHP hace esto (convierte la entrada sin tener que usarmysql_real_escape_string)? Lo hacesiempr hacerlo o solo con ciertas extensiones? ¿Es seguro confiar en este comportamiento para evitar inyecciones SQL?

Respuestas a la pregunta(4)

Su respuesta a la pregunta