Yo uso estas 2 funciones para limpiar todas las variables obtenidas del usuario
Código PHP:
// ***************************************************************************************
// Limpiar_html.- Elimina el Cross Site Scripting
function limpiar_html($variable) {
$variable = strip_tags(stripslashes(trim(rtrim($variable))));
$variable = htmlspecialchars($variable, ENT_QUOTES);
return $variable;
}
/// ***************************************************************************************
// Limpiar_sql.- Funcion de limpieza para evitar inyeccion SQL
function limpiar_sql($variable) {
if (is_int($variable))
return $variable;
else {
$variable = trim(strip_tags(stripslashes(trim($variable))),"\x22\x27");
return $variable;
}
}
Código PHP:
$action = limpiar_html($_GET['action']);