Originariamente inviato da boots
con mysql_real_escape dovresti andare sul sicuro, anche se sarebbe meglio:
Usare sempre gli apici per delimitare un valore.
Non dovresti fare così:
$query = "SELECT * FROM table WHERE id=". $id;
ma
$query = "SELECT * FROM table WHERE id='{$id}'";
Anche se hai passato $id con mysql_real_escape
Inoltre, quando puoi fai il cast con il tipo giusto:
$id = (int)$id; // Se $id è un intero;
Per il secondo punto: Http è insicuro by design. Tutto ciò che viaggia con questo protocollo è in chiaro. Se qualcuno sulla tua stessa rete "sniffa" il traffico legge con facilità password o altro.
L'unico modo per essere sicuro (ma neanche troppo

) è usare https