Hello,

das ist überhaupt nicht paranoid, sondern umsichtig. Mann sieht das Problem ja und hat einfache Möglichkeiten, etwas dagegen zu tun.

Vielleicht sollte man es auch nur als notwendige Nachfrickelamßnahme an einer krankhaften Programmiersprache (C) ansehen.

Wenn Du MySQL benutzt, dann gibt es mysql_escape_string() und mysql_real_escape_string(). Die tun alles Notwendige.
Aber vorher stripslashes() verwenden, wenn get_magic_quotes_gpc()

Wenn Du andere Datenbanken benutzt. musst Du dir die passende API-Funktion ggf. selber schreiben.

Grüße

Tom