yo uso esta...
Código:
// extraida de t-blog
function escapa($valor){
if(get_magic_quotes_gpc()) $valor = stripslashes($valor);
if(!is_numeric($valor)) $valor = mysql_real_escape_string($valor);
return($valor);
}
la cogi de el t-blog de truzone (
www.truzone.org), supongo que sera buena, por que si a conseguido crear un nuke que no lo hackean en 10 minutos, supongo que el t-blog sera igual de seguro... y para cuando tiene que ser un numero, como es el caso de las categorias utilizo solo intval($_GET[id])
por ejemplo:
Código:
// solo numeros
$sql = mysql_query("SELECT * FROM categorias where id='".intval($_GET[id])."'");
// escapar caracteres extraños
$sql = mysql_query("SELECT * FROM categorias where id='".escapa($_GET[id])."'");