Estoy testeando una web y tiene mysql_escape_string para evitar las inyecciones, pero se que esta obsoleta esa funcion.
He leido que por la codificacion se podria atacar, pues dicha funcion no la tiene en cuenta.

¿Alguna manera para explotarla?

Sqlmap no consigue saltarsela, ¿alguna recomendacion?