Saludos

Es que llamar así a pelo a las funciones de mysqli me da un noseque, y todas las que vi usan las funciones "clásicas" de acceso a mySQL de PHP

Pero estas funciones en general valen para lo mismo que las magic quotes: Dar falsas esperanzas con la seguridad.

Saludos
PS. Yo no inventé esa función

Todavía no tengo ni una sola razón por lo que no sea recomendable usarlo.

En fin, me parece que el que escribió esa función no se dió cuenta de lo que estaba haciendo.

 
function antiinjection($str) {
	$banchars = array ("'", ",", ";", "--", ")", "(","\n","\r");
        $banwords = array (" or "," OR "," Or "," oR "," and ", " AND "," aNd "," aND "," AnD "); //faltan algunas permutaciones del and,se sobreentiende espero gracias a la observacion del primero comentario
	if ( eregi ( "[a-zA-Z0-9]+", $str ) ) {
                $str = str_replace ( $banchars, '', ( $str ) );
		$str = str_replace ( $banwords, '', ( $str ) );
	} else {
		$str = NULL;
	}
	$str = trim($str);
	$str = strip_tags($str);
	$str = stripslashes($str);
	$str = addslashes($str);
	$str = htmlspecialchars($str);
	return $str;
}
 

El orden de aplicar str_replace es estrictamente ese, primero escapo los caracteres peligrosos y despues quito los and y or. Y aun asi seguro que queda algun bug por ahi.

El orden estricto en que aplico los replaces es para evitar por ejemplo ;OR; que en el ejemplo, solo quitaria los ;

De esta forma por ejemplo Select user from users where id=2 ;OR; 1=1 quedaria:

Despues del primer replace: Select user from users where id=2 OR 1=1
Y en el segundo replace, pues ya se quitaria el or, teniendo un sql mal formado pero polo menos no devuelve algo indeseado: Select user from users where id=2 1=1

Presupongo que se va a hacer un select, porque si vas a hacer un insert o un update, claro, no te vas a cargar lo que escribe alguien. Si lo que insertas o modificas no va a meterse como enlace en href, en principio con hacer lo de stripslashes y eso llegaria pienso yo.