Cita:
Iniciado por carlos_belisario 
buenas compañero aki hablan un poco de la seguridad
http://www.tufuncion.com/php_seguridad_II, en parte explican la funcion mysql_real_escape_string, entre otrasm tambien puedes usar htmlentities strip_tags bueno ahi tienes un poco de informacion mas la que puedas conceguir tu y compartir suerte
vale muchas gracias anteriormente ya habia posteado algo similar y me dieron una respuesta parecida
http://www.forosdelweb.com/f18/inyeccion-sql-819581/
asi que cada variable que obtengo la paso por
$var = stripslashes($var );
$var = mysql_real_escape_string($var );
antes de guardarla en la base de datos...
y cuando la muestro uso
echo nl2br("$variable");
pero me pregunto si solo eso suficiente?? ya que eso lo estoy aplicando a texto normal y este en cambio viene con formato html...
pd: al parecer tengo otro problemita, el servidor donde tengo la pag comoque no me deja pasar formato html pq muestra la variable en blanco (solo la del textarea con editor, pq los textareas normales si muestra la info ingresada) que hago???
o será que el textarea no esta relacionado?? pq los editores por lo general son IFRAME