#4 Con que PHP filtre las comillas de entrada (por defecto desde hace tiempo) y nosotros pasemos las strings en la SQL entre ' ' es suficiente para filtrar cualquier SQL injection. Y los números un "isnumeric" basta (incluso ni eso poniendolos entre comillas).
Eso que se comenta en el artículo, es más viejo que el "Howto Pringao".
#7 gazpa, hay más lenguajes aparte de PHP y más bases de datos que MySQL, de hecho muchas veces hay que desarrollar las aplicaciones abstrayéndonos de la base de datos, por lo que no puedes confiar en características específicas de una base de datos, como lo que comentas de MySQL por la que en cualquier atributo se pueden meter valores entrecomillados.
Por otra parte, te comento que lo que dices de las comillas que se filtran automáticamente, supongo que te referiras al gpc_magic_quotes, uno de los peores inventos de PHP, en este post lo tienes más explicado: www.eslomas.com/index.php/archives/2005/10/13/como-evitar-problemas-co
www.eslomas.com/index.php/archives/2006/06/07/sql-injecti... 
www.google.es/search?hl=es&q=sql+injection&btnG=B%C3%BAsqueda+
voila!!:-D
Eso que se comenta en el artículo, es más viejo que el "Howto Pringao".
Por otra parte, te comento que lo que dices de las comillas que se filtran automáticamente, supongo que te referiras al gpc_magic_quotes, uno de los peores inventos de PHP, en este post lo tienes más explicado: www.eslomas.com/index.php/archives/2005/10/13/como-evitar-problemas-co