Holas.

He perdido un poco el hilo de este tema, pero digo:

La seguridad de una página no puede depender de cosas en las que el cliente puede intervenir(javascript, cookies, etc). Es que...no se como explicarlo...pero lo mas lógico sería que aprendierais a relizar estos ataques(inyección sql, xss, etc) para así saber en que se basan y poder pararlos.

Como ya e dicho antes...hay que usar addslashes() para cadenas que vallan a ir a la base de datos. Y htmlentities() o htmlspecialchars() para cadenas que se impriman por pantalla en las que el cliente puede tener acceso a ellas(ya sea mediante la URL, mediante cookies, etc).

Siento no poder explicarme mejor pero es que cuando repartieron el don de la palabra falté a clase xD

Saludos ;)