Cita:
Iniciado por dquispe 
Ok buscare mas info sobre ese tema, haber que es lo que puedo encontrar.
Pero para evitar esas inyection tgo que utilizar un respectivo codigo en cada pagina tambien eh escuchado con el php.ini configurarlo.
Sinceramente, nunca toque mucho del php.ini respecto a evitar XSS o SQL Inyection. Podes armarte unas librerias como las que usan los frameworks:
Código php:
Ver original$var = $this->input->post('variable1'); // falso si la variable no existe, variable sanitizada (filtros XSS) si la variable existe.
$this->db->query('SELECT * FROM table WHERE var = ?', array($var)); // el metodo query de la libreria DB como primer parametro utiliza una query con ? en vez de variables y un array de variables que sanitiza (para evitar SQL Inyection) antes de enviar la query a la DB
Hay muchos metodos de hacer todo esto. Fijate que en la pagina de OWASP tenes muchos ejemplos y creo que hasta hay un script en PHP para sanitizar strings tanto para evitar XSS como SQL Inyection.