Buenas,
de entrada siempre "saneo" los GET y los POST. A lo que me refiero con seguridad es la mayor o menor posibilidad de hacer un "exploit" sobre una cadena de formato.
Para que veas un ejemplo, en un código C (digo C porque es lo más parecido que encuentro a php y de C tengo más conocimientos de cadenas de formato), si tu escribes algo así
y no
Código:
printf("%s", mi_variable);
existen posibilidades de explotar la cadena insertando valores HEX, para así, por ejemplo, sobreescribir cierta dirección de memoria y hacer que el programa haga algo totalmente diferente.
Pues bien, no se a ciencia cierta si usando "echo" en PHP se corre el mismo riesgo. En caso de haberlo sería cuestión de cambiar todo a cadenas de formato, pero quiero informarme de antemano ya que, como pasa siempre, no son pocos los datos que se muestran por pantalla, y estar una infinidad de horas cambiando "echo" a "printf" de manera innecesaria (en caso que no sea "inseguro") sería algo que me gustaría ahorrarme, jejeje
Gracias por contestar