Szukalem w google ale nie znalazlem Jak zabezpieczyc post i get przed tagami html i niebezpiecznymi znakami? probowalem htmlspecialchars(addslashes($_POST[])); ale nie poszlo. Mam na mysli `` i < > i inne. Prosze o przyklady a nie link do google bo za taka pomoc to ja dziekuje

A przyklejone wątki SQL Injection/Insertion, Jak zapobiec włamaniu na stronę i Bezpieczeństwo skryptów PHP, Jak zabezpieczyć się przed włamaniem?

Przerzucić się na PDO i bindować dane

Odstąpię od reguły i podam kod, który kiedyś znalazłem w sieci:

[PHP] pobierz, plaintext 
function zabezpiecz($tablica, $metoda=1) {
  foreach ($tablica as $klucz=>$wartosc) {
    if (is_array($wartosc)) {
      $tablica[$klucz] = zabezpiecz($wartosc, $metoda); // rekurencja dla tablic
    } else if ($metoda==1) {
      // usuwam ukośniki i zabezpieczam znaki specjalne po swojemu
      if (get_magic_quotes_gpc()) $tablica[$klucz] = stripslashes($wartosc);
      $tablica[$klucz] = str_replace(
        array(    '&',      '"',    '<',    '>', "\0",   '\\',  "'"), // z
        array('&amp;', '&quot;', '&lt;', '&gt;',   '', '\\\\', "\'"), // na
        $wartosc
      );
    } else if ($metoda==2) {
      // dodaję ukośniki, jeżeli PHP ich nie dodaje automatycznie
      if (!get_magic_quotes_gpc()) $tablica[$klucz] = addslashes($wartosc);
    } else if ($metoda==3) {
      // wszystkie zmienne mapuję na liczby całkowite
      $tablica[$klucz] = (int)$wartosc;
    } else {
      // bez zmian dla metod niezdefiniowanych
      $tablica[$klucz] = $wartosc;
    }
  }
  return $tablica;
}
[PHP] pobierz, plaintext 

get_magic_quotes_gpc oczywiście dla tych, którzy mają stare PHP
Użycie:

[PHP] pobierz, plaintext 
if (!empty($_GET))    $_GET    = zabezpiecz($_GET, 1);
if (!empty($_POST))   $_POST   = zabezpiecz($_POST, 1);
if (!empty($_COOKIE)) $_COOKIE = zabezpiecz($_COOKIE, 3);
[PHP] pobierz, plaintext