Cita:
Iniciado por thetwister 
Mi duda es ¿a que variables tengo que pasarle esto?
todas las entradas manipulables por usuario dirigidas a una bd por ejemplo un nombre que vas a guardar/consultar/modiicar/ en la bd y ha sido introducido por un usuario en un formulario
Cita:
Iniciado por thetwister si por ejemplo recibo un $_POST o $_GET o cualquier otro y este tiene "codigo maligno" ¿sirve de algo que a eso que reciba le haga un str_replace para quitar signos como " $ { ( ) " o incluso un preg_match en caso de que detecte caracteres no permitidos?
¿ o de todos modos se "activaria" ese codigo malicioso ?
escapa antes de guardarla y antes de mostrar la variable
strip_tags
http://php.net/manual/es/function.strip-tags.php
htmlspecialchars
http://www.php.net/manual/es/functio...ecialchars.php
htmlentities
http://www.php.net/manual/es/function.htmlentities.php