Injeção de SQL bem-sucedida, apesar das aspas mágicas do PHP
Eu sempre li que o Magic Quotes não para de jeito nenhum as injeções de SQL, mas não consigo entender por que não! Como exemplo, digamos que temos a seguinte consulta:
SELECT * FROM tablename
WHERE email='$x';
Agora, se a entrada do usuário fizer$x=' OR 1=1 --
, a consulta seria:
SELECT * FROM tablename
WHERE email='\' OR 1=1 --';
A barra invertida será adicionada pelo Magic Quotes sem nenhum dano causado!
Existe uma maneira que eu não esteja vendo onde o usuário pode ignorar as inserções do Magic Quote aqui?