allora ho letto e riletto varie guide e devo dire che sono un pochino confuso.
ho già chiesto come bisogna filtrare la variabile numerica e ho ottenuto qui risposte a mio modo soddisfacienti.
parliamo di stringhe cioè di lettere e numeri.
tutte le ricerche che ho fatto mi hanno portato qui
Esempio

if(isset($nome)){
$nome= trim(addslashes(htmlentities($nome)))
}
poi girando ho letto di questa funzione Strip_Tags()

questi controlli devono essere fatti sempre o per quelle variabili immesse dall'utente? quindi get e post, session e cookie?
Esempio: motore di ricerca
se invece sono il richiamo semplice a campi di una tabella mysql devono essere fatti? scusate il dubbio stupido...
io devo effettuare i controlli sia che la destinazione sia una pagina di commenti o una mail mandata a e me?
ho anche messo il codice captcha.
se ci sono lacune chiedo scuse ma sto appena agli inizi della comprensione dell'argomento sicurezza e se pongo queste domande e per essere un pò guidato.