Mam pytanie czy dobrze sadze ze taka funkcja zabezpieczy mnie przed wpisywanie kodu SQL do pól textarea

[PHP] pobierz, plaintext 
<?php
function replace_code_mysql($text)
{
		$code_mysql = array('[Ss][Ee][Ll][Ee][Cc][Tt]',	 // select
							'[Nn][Uu][Ll][Ll]',			 // null
							'[Dd][Ee][Ll][Ee][Tt][Ee]',	 // delete
							'[Ii][Nn][Ss][Ee][Rr][Tt]',	 // insert
							'[Ff][Rr][Oo][Mm]',			 // from
							'[Uu][Pp][Dd][Aa][Tt][Ee]',	 // update
							'[Ww][Hh][Ee][Rr][Ee]',		 // where
							'[Dd][Rr][Oo][Pp]',			 // drop
							'[Ss][Hh][Oo][Ww]',			 // show
							'[Aa][Ll][Tt][Ee][Rr]',		 // alter
							'[Ii][Nn][Tt][Oo]',			 // into
							'[Vv][Aa][Ll][Uu][Ee][Ss]',	 // values
							'[Ss][Ee][Tt]',				 // set
							'[Uu][Nn][Ii][Oo][Nn]');		// union
		while(list($number, $tablica) = each($code_mysql))
		{
			  $text = preg_replace("%$tablica%", " ", $text);
		}
		return $text;
}
?>
[PHP] pobierz, plaintext 

I później mam cosik takiego

[PHP] pobierz, plaintext 
<?php
$login_POST = replace_code_mysql($_POST['login']);
$password_POST = replace_code_mysql(md5($_POST['password']));
?>
[PHP] pobierz, plaintext 

Czy jest coś co jeszcze trzeba w niej zmienić

[PHP] pobierz, plaintext 
<?php
$sql = "SELECT * FROM users WHERE name = '" . mysql_real_escape( $text ) . "' AND password = '" . mysql_real_escape( $password ) . "'";
?>
[PHP] pobierz, plaintext 

Sprobuj to zhakowac jakims $text'em z np. SELECT czy komentarzem.

Np. podanie $text = 'User --' nie spowoduje wykomentowania dalszej czesci zapytania:

[SQL] pobierz, plaintext 
SELECT * FROM users WHERE name = 'User --' AND password = .....
[SQL] pobierz, plaintext 

Jesli ten $text przerzucisz przez escape i umiescisz wewnatrz ' i ' to wszystko bedzie ok. Liczby przepuszczasz przez intval() lub floatval() (zalezy czego potrzebujesz) i juz. Tyle zabezpieczen.
Poszukaj watku o SQL Injection na forum.

A gdyby zmiennej nie umieszczał w apostrofach? Też nic się nie stanie.

Miedzy apostrofy nie umieszczasz tylko liczb (a te traktuj intval jak wspomniał przedmówca)

O traktowaniu liczb intval wiem.

Nie rozumiem o co Ci chodzi

Tam gdzie jest tekst dajemy apostrofy. Tam gdzie liczba nie. Np:

[SQL] pobierz, plaintext 
$sql = 'SELECT * FROM jakastabela WHERE imie=''.$tekstUzytkownika.''';
[SQL] pobierz, plaintext 

[SQL] pobierz, plaintext 
$sql = 'SELECT * FROM jakastabela WHERE wiek='.$wiekUzytkownika;
[SQL] pobierz, plaintext 

Oczywiście wcześniej zmienne $tesktUzytkownika i $wiekUzytkownika zostają przefiltrowane.

Powinno sie wszystko pakowac w string i tak bazka sobie rzutuje to i dopasowuje do typu. Zastosuj tak jak pisal @dr_bonzo

I tak wszystko jest wysylane stringiem bo konkaten.... laczymy stringi z liczbami co nam daje stringa A rzutowanie w php gwarantuje to ze liczby beda liczbami.

Źródło: http://www.zend.com/zend/tut/using-strings.php

@dr_bonzo: dr_bonzo: Jeśli zastosujesz filtrowanie danych to mój sposób też jes bezpieczny i delikatnie wydajniejszy.

A czy musze dawać też te funkcje przy dodawaniu do bazy, update i usówaniu Czy tylko przy wybieraniu z bazy