Remover caracteres indesejados e evitar a SQL Injection

Este exemplo demonstra como remover certos caracteres indesejados quando se incluir alguma informação por um formulário postado em seu site, com isso, evitando o que chamamos de SQL Injection:

É surpreendente a quantidade de sites vulneráveis a SQL Injection que achamos por aí.

SQL Injection é um ataque no qual um código sql é inserido dentro de uma query em um site, permitindo ao atacante obter dados importantes ou acesso a áreas restritas de sites.

Muitos serviços são disponibilizados via web hoje em dia, o que aumenta a incidência desse tipo de ataque, tornando importante o conhecimento sobre como ocorre e como deve ser evitado.

<?php
function LimparTexto($texto)
{
	$texto=str_replace(array("<", ">", "\", "/", "=", "'", "?"), "", $texto);
	return $texto;
}
//Exemplo:
echo LimparTexto("<html>|texto\|cachorro/|gato=|nada?");
//será retornado: html|texto|cachorro|gato|nada


$dado = LimparTexto($_POST["dado"]);

//Para ver o resultado: echo $dado;
//se o conteudo da variável $dado for igual a: texto's 12/12/1299
//será retornado: textos 12121299

?>

Queremos saber sua opinião