Buenas de nuevo,
Estoy revisando mis librerias y webs para mejorar la seguridad. De primeras lo que hago es al principio del index.php de cada web aplicar este script para evitar posibles inyecciones de sql:
Código:
array_map('mysql_real_escape_string',$_GET);
array_map('mysql_real_escape_string',$_POST);
Luego aplico también strip_tags() en los formularios para evitar que me cuelen html. Quería preguntaros dos cosas:
1- tras aplicar estas dos capas de seguridad, hay algo que no me gusta, y es que si alguien en un textarea escribe un texto en el que aparezcan comillas simples o dobles, al guardarlo en bases de datos estas aparecen con una barra por delante. Cual es la manera correcta de tratar entonces un texto de un textarea para que no pase esto y que a la vez no ponga en peligro la web?
2- Creeis que estos dos pasos son suficientes para tener una recepción segura de datos llegados por formularios? Y que ocurre con el array $_Files? Independientemente de que mis scripts validen la extensión de los archivos, es necesario tambien aplicarle algo parecido a 'mysql_real_escape_string'?
Muchas gracias compañeros.