Ancora sql injection

[slang6]

Ciao a tutti,

scusate se è una domanda già fatta mille volte ma più leggo e meno mi si chiariscono le idee. Oltre al validare opportunamente i dati e quindi controllare che la variabile sia effettivamente, a secondo di quello che ci aspettiamo, una stringa o un un intero non ho ben capito quali metodi messi a disposizione dal php conviene usare.

In particolare non ho capito bene come/quando usare addslashes e stripslashes, in fase di controllo della variabile e meglio aggiungerli o toglierli gli slash?

L'unica cosa che ho capito fino ad ora è che è opportuno validare i dati e poi fare il mysql_real_escape_string ma nel mezzo come può essere utile mettere?

Grazie mille

[amphioxus]

ciao è una domanda che mi sono posta anch'io mille volte...
diciamo che se tu memorizza in una stringa come $prova un parametro di tipo post get e questo parametro è destinato a far parte di una query che recita WHERE LIKE $prova ecc ecc
allora conviene usare addslashes ..lo devi usare credo in fase di inserimento in tabella anche....
se tu prelevi i dati da tabella avengo aggiunto lo slash lo devi togliere nel momento del prelevio fai lo strip...
per i valori numeri puoi forzare il campo nel senso ci sono varie opzioni
come is_numeric intval o int

buona cosa poi sono htmlspecialchars o htmlentities


da quel che ho studiato la penso cosi...poi attendo conferme