Piszac moj lamerski system news'ow kolega mi powiedzial ze w tych 2 zapytaniach jest sql injection:

[PHP] pobierz, plaintext 
<?php
$ip = $_SERVER['REMOTE_ADDR'];
	 $date = date('j/n/Y H:i:s;');
	  $autore = mysql_real_escape_string(strip_tags(trim($_POST['autore'])));
	   $titolo = mysql_real_escape_string(strip_tags(trim($_POST['titolo'])));
		$mail = mysql_real_escape_string(strip_tags(trim($_POST['mail'])));
		 $tema = mysql_real_escape_string(bbcode($_POST['tema']));	
$query4 = ("insert into news(id,autor,temat,tresc,email,data,ip) values('', '$autore', '$titolo', '$tema', '$mail', '$date', '$ip')"); 
?>
[PHP] pobierz, plaintext 

Tu mi sie zdaje ze nie ma no ale coz specjalista nie jestem mam nadzieje ze mi powiecie co tu jest zle

Potem przy drugim zapytaniu powiedzial mi to samo i tu ma racje zapytanie tak wyglada:

[PHP] pobierz, plaintext 
<?php
query = ("update newsy set autor=".$autore.", temat=".$titolo.", tresc=".$tema.", email=".$mail.", data=".$date.", ip=".$ip." where id=".$id."");
?>
[PHP] pobierz, plaintext 

I tu nie wiem zabardzo jak zabezpieczyc mam dodac tak samo do zmiennych mysql_real_escape_string(0 czy co bo pierwszy raz robie zapytanie typu update??

Po pierwsze skrypt nie może być SQL Injection, może być podatny na SQL Injection. Po drugie zapoznaj się z regulaminem forum (pytałeś o to w tym temacie: http://forum.php.pl/index.php?s=&showt...t&p=418319).

Wiem ze juz tam pytalem ale juz mi raz ktorys z modow powiedzial zebym pytania zadawal w przedszkole jak chce uzyskac szybciej odpowiec a co do tego przejezyczenia to nie ma znaczenia.