Algunas dudas...

Buenas, tengo algunas dudas sobre PHP.

*La primera es sobre seguridad web y bases de datos.
- Sé que hay que validar todo antes de ingresarlo a la bases de datos o procesarlo, en MySQL solo basta poner la funcion mysql_escape_string() o es necesario validar con otras funciones?
(Excepto si es numero, largo de caracteres, solo letras, etc, lo tengo claro)

* La otra duda es sobre templantes
- Cual es la mejor forma mas fácil y sencilla y facil de editar para hacer una web con templantes? Ya sea con .tpl o .php?
Se qué para .tpl requiere más trabajo en pasar cada variable y con PHP es necesarios varias clases / funciones para hacerlo y ponerlo en el PHP... Cual recomiendan?

* Qué es mejor? Sessiones o Cokies?
- Siendo que quiero una página que si el usuario pone "Recodarme" lo recuerde por 1-3 meses o para siempre, y si no elige esa opcion al cerrar la pagina se elimine la seccion. Sessiones es mas completo y tiene mejores funciones, pero Cookie tambien me han dicho que es bueno para esto.

Gracias ^^

- es necesario cuanto tu creas necesario, tal ves necesites poco o mucho... todo depende; eso si, pensar que no necesitas validar algún dato es el primer error...

- en cuanto a plantillas (templates) da igual, fácilmente (o en abstracto) lo que hacen los scripts de plantillas... es guardarlas en un arreglo, extraerlas a un contexto y usar include (por el alcance de variables) ... asi que ese es el concepto, demás los scripts de plantillas siempre te permiten usar PHP puro, que es lo recomendable...

- ambos, definitivamente... en lo personal un buen algoritmo de sesión usa ambos recursos... incluso, no depender de la variable $_SESSION (es decir, usar otro método.. como BD) es mas eficiente si de grandes datos se tratara...

Mis opiniones:

1- Nunca es suficiente, pero cada sistema es un mundo aparte. Pensá que si tu lógica es publicar comentarios directamente tal vez no te rompan la db pero si te hagan un ataque XSS o solo publiquen contenido con léxico que no querrás leer o con SPAM que no favorece a tu contenido. Lo mejor es tratar bien los datos y de ser necesario tener varios usuarios para la db con permisos sobre diferentes tablas/acciones.

2- Personalmente soy de usar HTML con el mínimo PHP entre los HTML TAGS con también simples includes y esas cosas básicas (unarchivo.php). He probado web modulares, framewroks, pero ninguno es tan práctico para mi o los sistemas que suelo hacer como usar un simple include.
De todas maneras hay muchas maneras de usar templates, si bien uso en su mayoría lo que te estoy contando, cada sistema amerita su previo estudio para definir que es mejor usar.

3- Son cosas distintas, lo importantes es que nunca guardes datos importantes en ninguna de las dos y que no abuses de ellas.

Si queres profundizar más en algún tema solo pregunta...no quiero hacerlo muy largo sin fundamentos.

Gracias por la respuestas a ambos... Sobre MVC si conozco algo, pero aun no del todo, me falta mucho...

Sobre la seguridad, ahora actualmente valido todo con mysql_escape_string(), si es solo texto+numeros hago expresiones regulares, si es numero is_numeric(), etc, strlen() etc... Y si tengo usuarios con rango diferentes en la bases de datos com num y valido todo.

No abuso sobre las Sessiones o Cookies, solo guardo ID del usuario y luego a partir de su ID saco sus datos correspondientes, pero con la respuesta de pateketrueke es mejor utilizar ambas?

Sobre los templantes, ninguna duda,gracias