Ciao a tutti!

Sto impazzendo con le varie funzioni per pulire le stringhe che un utente malizioso potrebbe sottomettere in un form (ad esempio come chiave di ricerca).. le ho provate un po' tutte (htmlentities(), mysql_real_escape() ecc) e mi sembra che la

Codice PHP:
 filter_var($var,FILTER_SANITIZE_STRING); 
sia la più semplice da usare e completa: mi trasforma una stringa come questa:

Svar="<script>\"'foo'\"</script>";

in \&#34;&#39;foo&#39;\&#34;

una stringa così "disinfettata" può essere inserita nel DB e stampata direttamente una volta recuperata con una SELECT (senza applicare ulteriori funzioni prima di echo) e non dovrebbe dare problemi di sicurezza, giusto?

Mi sfugge qualcosa?
Grazie 1000! Ciao