Digamos, cuando la aplicación del lado del servidor (como WordPress) aplica add_magic_quotes
a todos los parámetros GET / POST ( $_GET = add_magic_quotes($_GET);
), por lo que llama a la url:
example.com/?id=a'b
la aplicación ahora tiene variables seguras, y la ejecución de la consulta SQL parece que ya no es perjudicial:
$id = $_GET['id']; //----> a\'b
$mysql->query("Select ..... where id='$id'");
¿Hay algún caso, cuando todavía puede ser una amenaza para la seguridad? Cualquier ejemplo, por favor? ¿Cómo puede ser insegura esa consulta SQL, ya que se ha escapado de \'
carácter dentro de $id
?