Buongiorno a tutti!
non so se ho postato nella sezione giusta.
Vorrei dei chiarimenti in merito a due aspetti che mi sono venuti in mente così mentre stavo progettando un sito e essendo alle prime armi non ho trovato una risposta.
La prima:
come prevenire sql injection? io tutte le stringhe che vanno a formare la query le filtro con my_sql_real_escape. è sufficiente? se non lo è mi consigliate ?

la seconda:

durante ad esempio il login io compilo un form con nome utente e password in "chiaro" utilizzando il metodo POST. ma qualcuno potrebbe intercettare questi dati? e come evitarlo?
grazie mille a tutti