Powiedzmy, że mam stronę www.strona.pl/pokazuzytkownika.php?id=7645

Jego dane wyczytuję z bazy poprzez zapytanie z WHERE id = $_GET[id]. Wszystko ładnie, tylko pozostaje kwestia bezpieczeństwa, bo przecież w tego $_GET'a sporo można sobie wpisać, UNION jakiś czy coś.

Czytałem na stronie głównej artykuł o tym i powoli usuwam luki z zabezpieczeniach:

[PHP] pobierz, plaintext 
<?php
$striped = strip_tags ($_POST[id]);
$gotowy = mysql_real_escape_string ($striped);
$sql = "SELECT * FROM uzytkownicy WHERE id = '".$gotowy."'";
?>
[PHP] pobierz, plaintext 

Czy to wystarczy, i czy w ogóle dobrze robię?

według mnie to wystarczy

@Wieviór - no nie jesteś nowy na forum...!
Popraw proszę tytuł topiku na zgodny z zasadami forum Przedszkole

Tak, takie coś powinno wystarczyć, jednak pamiętaj, że skoro potrzebujesz id, to nie baw się w usuwanie tagów, itp, lecz od razu przejdź do rzeczy. Możesz sprawdzić przy pomocy is_numeric, czy zmienna jest liczbą lub zrzutowac przy pomocy (int).

[PHP] pobierz, plaintext 
<?php
// przyklad 1
if(is_numeric($_GET['id'])) {
	// select ...
}
 
// przyklad 2
$sql = 'select * from tabela where id = '.(int)$_GET['id'];
?>
[PHP] pobierz, plaintext 

@Cysiaczek: Słusznie szefie, już poprawiam ;]

@batman: Podałem zły przykład, rzeczywiście gdy mam int to nie ma problemu, bo mogę zrobić jak pokazałeś, ale gdy to jest np. nazwa użytkownika przy logowaniu?

Jeśli pobierasz dane od użytkownika, które przesyłasz do bazy danych trzeba:
1. strip_tags.
2. Czasem dla pewności można użyć htmlentities.
3. Użyć funkcji escape_string.

Dobrym zwyczajem jest ograniczyć długość ciągu, jaki jest podawany przez użytkownika. Najpierw w JS sprawdzić długość, następnie po stronie serwera.