sicurezza sql: utilizzo di funzione pSQL

[ciroco05]

Ciao,

nello studio di un modulo per l'inserimento di un campo messaggio, per prevenire sql injection (visto che il contenuto sarà salvato nel db) ho utilizzato la chiamata

$testo= pSQL($_POST['testo']);

che dovrebbe richiamare l'omonima funzione pSQL contenuta nel file Db in classes;

se non inserirsco questa chiamata, nel db finiscono tutti i caratteri speciali, come apice, caratteri accentaci ecc.
se inserisco la funzione, come sopra, ma passa anche il carattere doppioapice (& quot)

E' corretto così ?

Ciroco05

[disarci]

al 100%

[ciroco05]

ok grazie

Ciroco05