Estoy intentando reproducir en mi maquina una vulnerabilidad sql injection tipica:
Citar
$foo = @$_GET["foo"];
$result = $mysqli->query("SELECT * FROM `table` WHERE `user` = '$foo' ");
$result = $mysqli->query("SELECT * FROM `table` WHERE `user` = '$foo' ");
El problema es que mysqli o php automaticamente escapa las comillas simples
ej:
Citar
`user` = '\'aaa'
Es normal que haga esto aunque no utilize real_escape_string?
Gracias
EDITO: no es cosa de mysqli sino del GET que parece que utiliza alguna función de filtrado. Es esto lo común? Es el fin de las inyecciones SQL?