Otóż pisze sobie taki prosty portalik i zastanawiam jak się zabezpieczyć przed sql injection na razie mam coś takiego.

[PHP] pobierz, plaintext 
function strip_html_tags( $text )
{
    $text = preg_replace(
        array(
          // Remove invisible content
            '@<head[^>]*?>.*?</head>@siu',
            '@<style[^>]*?>.*?</style>@siu',
            '@<script[^>]*?.*?</script>@siu',
            '@<object[^>]*?.*?</object>@siu',
            '@<embed[^>]*?.*?</embed>@siu',
            '@<applet[^>]*?.*?</applet>@siu',
            '@<noframes[^>]*?.*?</noframes>@siu',
            '@<noscript[^>]*?.*?</noscript>@siu',
            '@<noembed[^>]*?.*?</noembed>@siu',
          // Add line breaks before and after blocks
            '@</?((address)|(blockquote)|(center)|(del))@iu',
            '@</?((div)|(h[1-9])|(ins)|(isindex)|(p)|(pre))@iu',
            '@</?((dir)|(dl)|(dt)|(dd)|(li)|(menu)|(ol)|(ul))@iu',
            '@</?((table)|(th)|(td)|(caption))@iu',
            '@</?((form)|(button)|(fieldset)|(legend)|(input))@iu',
            '@</?((label)|(select)|(optgroup)|(option)|(textarea))@iu',
            '@</?((frameset)|(frame)|(iframe))@iu',
        ),
        array(
            ' ', ' ', ' ', ' ', ' ', ' ', ' ', ' ', ' ',
            "\n\$0", "\n\$0", "\n\$0", "\n\$0", "\n\$0", "\n\$0",
            "\n\$0", "\n\$0",
        ),
        $text );
    return strip_tags( $text );
}
//strip_html_tags($_POST['info']);
$x = array_map(trim,$_POST);
$y = array_map(strip_html_tags,$x);
$z = array_map(addslashes,$y);
$_POST = $z;
[PHP] pobierz, plaintext 

Czy takie cos zapewni mi "względne" bezpieczeństwo?Dodatkowo po "przetworzeniu" tekstu przez te "defensywe" nie przechodzi do następnej lini jednak w formularzu przechodziło.Co mogę z tym zrobić?Albo jak dodatkowo się zabezpieczyć?

W zależności od sterownika
PDO:
http://pl2.php.net/manual/pl/pdo.quote.php
LUB
http://pl2.php.net/manual/pl/pdo.prepare.php

Mysql:
http://pl2.php.net/mysql_real_escape_string

Ot twoje cale zabezpieczenie przed sql injection.

Rozumiem, tylko np. jakbym chciał podgląd postu to tez muszę się zabezpieczyć przed jakimś nieoczekiwanym HTML i PHP racja?Co byście polecili na takie sprawy?

To już nie jest zabezpieczenie przed sqlinjection.
Dobrym rozwiązaniem jest stosowanie HTML Puryfier, Tidy albo zastosowanie składni bbcode.

Możesz napisać własną klasę bbcode, każdy post możesz sprawdzać funkcją htmlspecialchars(), rozwiązań jest dużo wszystko zależy od wiedzy i wyobraźni programisty.

To wszystko co chciałbym wiedzieć, dzięki za szybką odpowiedz... chociaż nadal nie wiem czemu mi te entery w textarea pomija..

[Edit]
Rozwiązanie na entery + BBcode zamieszczam jakby ktoś potrzebował :

[PHP] pobierz, plaintext 
 
function bbcode($zrodlo){
		$zrodlo=trim($zrodlo);
		$zrodlo=htmlspecialchars($zrodlo);
	    $zrodlo=preg_replace("#\[b\](.*?)\[/b\]#si", "<b>\\1</b>", $zrodlo);
        $zrodlo=preg_replace("#\[i\](.*?)\[/i\]#si", "<i>\\1</i>", $zrodlo);
        $zrodlo=preg_replace("#\[u\](.*?)\[/u\]#si", "<u>\\1</u>", $zrodlo);
        $zrodlo=preg_replace("#\[small\](.*?)\[/small\]#si", "<small>\\1</small>", $zrodlo);
        $zrodlo=preg_replace("#\[big\](.*?)\[/big\]#si", "<big>\\1</big>", $zrodlo);
        $zrodlo=preg_replace("#\[p\](.*?)\[\/p\]#si", "<p>\\1</p>", $zrodlo);
        $zrodlo=preg_replace("#\[center\](.*?)\[\/center\]#si", "<center>\\1</center>", $zrodlo);
		$zrodlo=preg_replace("#\[color=(http://)?(.*?)\](.*?)\[/color\]#si", "<span style=\"color:\\2\">\\3</span>", $zrodlo);
		$zrodlo=preg_replace("#\[size=(http://)?(.*?)\](.*?)\[/size\]#si", "<span style=\"font-size:\\2\">\\3</span>", $zrodlo);
		$zrodlo=preg_replace("#\[img\](.*?)\[/img\]#si", "<img src=\"\\1\" border=\"0\" alt=\"No img\" />", $zrodlo);
		$zrodlo=preg_replace("#\[hr=([0-9]{1,2}|100)\]#si", "<hr class=\"linia\" width=\"\\1%\">", $zrodlo);
		$zrodlo=nl2br($zrodlo);
		return $zrodlo;
}
[PHP] pobierz, plaintext