Hola, me di cuenta de que mi web era insegura y se la podia atacar mediante inyeccion de sql.
Entoces imaginé que existe alguna función en php que me permita "limpiar" una variable de comandos SQL (como la función strip_tags();), encontré esta función: mysql_real_escape_string();
lo que hago simplemente es pasar por esa función cada variable que está dentro de una sentencia SQL. Por ejemplo:
Código PHP:
mysql_query("select * from `noticias` where entrada=".$id."';");
¿Es totalmente seguro usar nada más esta función? ¿No hay alguna manera de que salten esta protección?
Saludos