Vamos a ver si ahora entiendo mejor...

http://www.forosdelweb.com/f18/seguridad-php-importante-805957/


mysql_real_escape_string();
Escapa caracteres especiales de una cadena para su uso en una sentencia
SQL, tomando en cuanto el juego de caracteres actual de la conexión.

strip_tags();
Elimina todas las etiquetas HTML que encuentra en el parametro
que le pases.

htmlentities();
Sustituye todas las etiquetas HTML que encuentra por su codigo,
para introducirlo en la BBDD.
(ej By Heli0s: cambiara el signo < por &lt; y el signo > por &gt;)

Addslashes();
Añade barra de escape a ciertos caracteres,
como por ejemplo a la comilla simple, '.

is_numeric(); o is_string(); etc..

Devuelve TRUE si var es una cadena o numero
(depende la funcion que uses), y FALSE en otro caso.
ereg(); (Expresiones regulares)


No usar HTTP_POST_VARS, HTTP_COOKIE_VARS, en cambio, usar $_POST o $_COOKIE.


No usar ereg_* para expresiones regulares, en cambio, usar preg_*



error_reporting(),
se puede hacer uso de esta función propia de PHP error_reporting(), para ayudarle a asegurar su código y encontrar el uso de variables que podrían ser peligrosas. Un atacante puede determinar el orden de autenticación en un script, (por medio del número de línea de los errores) como también probar exploits que pueden ser utilizados en diferentes ubicaciones del script.

Hay tres grandes soluciones a este problema. La primera consiste en examinar todas las funciones, e intentar arreglar la mayoría de los errores. La segunda es deshabilitar completamente la notificación de errores de el código en ejecución. La tercera es utilizar las funciones de manejo de error propias de PHP para crear su propio manejador de errores. Dependiendo de su política de seguridad, puede ser que encuentre que las tres sean aplicables a su situación.

Conociendo estas funciones, solo es custion de aplicarlas correctamente.

Ahora vuelvo a preguntar, basta con esto o se necesita algo mas?