Сеанс разоблачения заблуждений и суеверий, связанных с SQL injections в PHP, таких, как:

- что искейпинг нужен для входящих данных
- что mysql_real_escape_string - это универсальная защита от инъекций, делает "вредные" символы "безопасными".
- что mysql_real_escape_string вообще имеет какое-то отношение к защите от инъекций.
- что mysql_real_escape_string "принимает во внимание текущую кодировку". и поэтому она лучше, чем addslashes()
- что препареды - защита от всего, silver bullet
- что препареды "быстрее".
- что препареды "безопаснее", чем искейпинг (спорное, в принципе, утверждение, но в целом...)
- что при использовании препаредов искейпингом занимается база
- что запрос из комикса про мальчика Bobby Tables сможет нанести хоть какой-то вред стандартному PHP/MySQL приложению.

А так же рекомендации по организации правильного подхода к динамическому составлению запросов. [...]

Я без хелпа не знаю, что такое функция mysql_real_escape_string, но, видимо, что-то крутое, раз ей посвящена половина программы.
Но вот на SQL injection, выполненный при помощи prepared query, я бы, наверное, хотел посмотреть.
Или я неправильно понял, о чем собирается докладывать коллега.