Vou apresentar aqui 3 funções básicas para a segurança em PHP e para evitar o tão conhecido SQL Injection, sabemos que a melhor opção para evitar esse tipo de problema é usar queries parametrizadas, mas escapar todos os dados que são recebidos pelo seu site é de extrema importância.
htmlspecialchars($string): converte os caracteres <, >, & para caracteres HTML correspondentes.
strip_tags($string): Remove elementos HTML da strig.
addslashes($string): Escapa a string.
Segue exemplo de uso:
[php]
$texto = “Comentário de testes alert(‘oi’) “;
echo “htmlspecialchars(): “.htmlspecialchars($texto);
echo “
“;
echo “strip_tags(): “.strip_tags($texto);
echo “
“;
echo “addslashes(): “.addslashes($texto);
echo “
“;
[/php]
Resultado: