Embora muitas fontes citam ohtmlspecialchars funcionar comENT_QUOTES ser estarnão o suficiente para impedir a injeção de SQL, nenhum deles fornece uma prova do conceito. Eu não consigo pensar em nenhuma possibilidade.

Vamos considerar o seguinte exemplo:

$username = htmlspecialchars($_GET['name'], ENT_QUOTES, 'UTF-8');
$sql = "SELECT * from user WHERE name='$username'";
mysql_query($sql,...);

Qualquer um pode fornecer um exemplo, exceto os abrangidos pelo caso quandoA injeção de SQL contorna mysql_real_escape_string ()?