Witam.

Kiedyś uczyłem się PHP od podstaw, potem naukę porzuciłem i zamierzam wrócić. Kiedyś stworzyłem takie coś:

[PHP] pobierz, plaintext 
function var_filter($variable_type, $variable, $mres, $addslashes, $strip_tags)
{
    if($variable_type == 'post') $var = $_POST[''.$variable.''];
    else if($variable_type == 'get') $var = $_GET[''.$variable.''];
    if($strip_tags == 1) $var = strip_tags($var);
    if($addslashes == 1) $var = addslashes($var);
    if($mres == 1) $var = mysql_real_escape_string($var);
    return $var;
}
 
$get_confirm = var_filter('get', 'confirm', 1, 1, 1);
[PHP] pobierz, plaintext 

Było to moje "super zabezpieczenie" zmiennych GET i POST. Wiem, że nie ma to nic wspólnego ze standardami czy bezpieczeństwem, dlatego chcę wszystko poprawić.

Otóż jak zabezpieczyć zmienne GET i POST na mojej całej stronie, tak aby nie można było dodać żadnego złośliwego kodu, ataku SQL Injection itd. ?

Wystarczy po prostu mysql_real_escape_string($var) i będzie wszystko 100% bezpieczne?

Dodam, że zmienne często są w zapytaniach SQL. W zmiennych POST/GET będą używane tylko litery alfabetu duże/małe, cyfry, spacja i średnik.

poczytaj o PDO i wstrzykiwaniu zmiennych do zapytań np.:

[PHP] pobierz, plaintext 
$mysql->bind('id', $_GET['id']);
$mysql->exec("SELECT * FROM my_base WHERE id= :id");
[PHP] pobierz, plaintext 

Tak jak kolega pisze tylko PDO i bindowanie wszystkich parametrów.
Dodatkowo możesz stosować:

strip_tags oraz htmlspecialchars w celu zabezpieczenia przez xss

mysql_real_escape_string - tego już nie używamy bo w wersji 7 PHP nie będzie już mysql_query tylko PDO i MySQLi.