Vou apresentar aqui 3 funções básicas para a segurança em PHP e para evitar o tão conhecido SQL Injection, sabemos que a melhor opção para evitar esse tipo de problema é usar queries parametrizadas, mas escapar todos os dados que são recebidos pelo seu site é de extrema importância.

htmlspecialchars($string): converte os caracteres <, >, & para caracteres HTML correspondentes.

strip_tags($string): Remove elementos HTML da strig.

addslashes($string): Escapa a string.

Segue exemplo de uso:
[php]
$texto = “Comentário de testes alert(‘oi’) “;

echo “htmlspecialchars(): “.htmlspecialchars($texto);
echo “
“;

echo “strip_tags(): “.strip_tags($texto);
echo “
“;

echo “addslashes(): “.addslashes($texto);
echo “
“;
[/php]
Resultado: