sicurezza php mysql

[lazybone]

Salve,
avrei bisogno di chiarirmi le idee riguardo alcuni aspetti della sicurezza nella realizzazione di un piccolo cms con php e mysql.

In particolare:
1) Nella fase di lettura da form ed inserimento in db voi come trattate le vostre variabili per evitare mysql injection?
2) Viceversa, quando leggete dati dal db e dovete visualizzarli, come pulite le vostre stringhe per evitare che ad esempio all'interno ci siano pezzi di html che potrebbero "incasinare" la pagina?
3) A parte questi 2 aspetti (inserimento e visualizzazione), c'è qualche altra questione meritevole di particolare attenzione secondo voi?

Spero di essermi fatto capire...

Grazie!

[lazybone]

Nessuna risposta?

Io per adesso faccio così... in ogni pagina, all'inizio, eseguo questo controllo:

Codice PHP:

foreach($_POST as $key => $value) {
    $_POST[$key] = str_replace("\\", "\", htmlspecialchars($value, ENT_QUOTES));
} 


Quindi ogni volta che ci sono variabili post le elaboro subito e così se c'è qualche insert le metto nel db già convertite.
In questo modo non devo fare nessun controllo nelle singole query e nelle singole visualizzazioni. Che ne pensate? Può essere sicuro come metodo? E soprattutto è sufficiente?
Grazie...

[Santino83_02]

sql injiection:
http://php.net/manual/en/security.da...-injection.php
http://www.veracode.com/security/sql-injection

cross site scripting: http://phpmaster.com/php-security-cr...g-attacks-xss/

html injiection:
https://www.owasp.org/index.php/HTML_Injection
http://stackoverflow.com/questions/1...attacks-in-php

continua a cercare su google per approfondire