Sobre mysql_real_escape_string

Buenas gente, recien estoy empezando a implementar esta funcion de seguridad para evitar inyecciones SQL, el problema es que en una especie de libro de visitas que tengo, cuando alguien pone inocentemente comillas dobles o simples aparece antes siempre el ' / ' ya que lo guarda así en la base de datos, lo cual no queda muy bien que digamos, preguntas:

1) hay alguna manera de evitar que se guarde en la base de datos el ' / ' ?
2) son mysql_real_escape_string junto con strip_tags suficientes como para mantener cierto nivel de seguridad alto en el manejo de formularios?

Desde ya muchas gracias!

1. ¿Tienes magic_quotes_gpc() activado en tu php.ini?
2. En cuanto a inyección SQL y XSS se refiere, si.

carajo y yo pensaba que no
en cuanto terminara mi web me pondria a investigar ataques xss para protgerme, y veo que ya estoy protegido

Al menos en un sistema de comentarios, por ejemplo, si usas strip_tags y mysql_real_escape_string(), no te deberias preocupar por XSS.
Realmente depende del tipo de script y lo que hace, no todo se resuelve con 2 funciones claro esta.

muy cierto ronruby :) +1

Nunca está de más investigar a fondo sobre cómo protegernos de estos tipos de ataques. A mí me está comenzando a gustar mucho el tema de la seguridad sobre plataformas Web. Sería fantástico si algún compañero sabe de páginas con info al respecto y que nos las deje aquí en un simple enlace para cada una.

Saludos!

Aqui en este sitio hay unas cuantas informaciones para protegerse de cierto tipo de ataques:
http://phpsec.org/projects/guide/2.html

Gracias por contestar.

acabo de hacer un phpinfo y sí, magic_quotes_gpc está en ON

el php.ini no puedo tocarlo, busqué info sobre como desactivarlo, hice un .htaccess primero probé con php_flag magic_quotes_gpc Off y luego con php_value magic_quotes_gpc Off
en ambos casos no solo no soluciona el tema sino que me tirá un Internal Error 500
así que saqué el .htaccess y dejé como estaba todo con las ' / '

no se como solucionarlo :(

cual es el problema de que se guarde en la base de datos el / slash?

lo dije al principio, que aparece cada vez que alguien pone comillas simples o dobles, cosa que no queda para nada bien que aparezca algo así por ejemplo: dijo que \"no quería\" venir.

¿El problema es que no quieres que al imprimirlo salgan los '\'? O simplemente no quieres almacenar el dato con ese backslash?
Si no quieres almacenarlo asi, deberías cambiar esa directiva o en caso de no poder definitivamente por .htaccess o directamente en el php.ini seria entonces hacer un cambio a los scripts que insertan los datos.

Es que ami nunca me hadado ese problema, al imprimir me imprime normal, y quitar esa funcion podria sder catastrofico, si a ti, si te los imprime, puedes usar una funcion que los quite al imprimir, pero que raro se me hace.

Se que podría hacer una función para que no los imprima y de última voy a hacer eso, pero mi idea en realidad es que no se guarden en la base de datos, ya que nunca se sabe cuando se va a necesitar un '/' real.

Ronruby, que tipo de script sería ese? yo recibo el dato y hago algo asi de sencillo antes de insertarlo en la base:
$comentario = mysql_real_escape_string($_POST["comentario"]);

memoadian, en que sentido puede ser catastrófico apagar esa funcion? ya que estoy pensando en mandar a mi proveedor de hosting un email para que pongan magic_quotes_gpc en Off

No se recomienda el uso de esa directiva, de hecho en PHP 5.3 esa funcion esta deprecated
http://php.net/manual/en/security.magicquotes.php

A la hora de insertar un \, se inserta otro mas para escaparlo \\ asi que no habria problema con solo hacerlo cuando se imprima.

De todas maneras, tendrias que hacer lo siguiente en donde se insertan los datos

Creo es asi, lo que hace es que si esta activada, le quita los \ e inserta los datos usando mysql_real_escape_string en su lugar.

gracias Ronruby! probé ese codigo y parece andar perfecto

en total me queda algo así, es un poco largo pero ya crearé una función para hacerlo con cada item de formulario:

$comentario = $_POST["comentario"];
$comentario = get_magic_quotes_gpc() ? stripslashes($comentario) : $comentario ;
$comentario = mysql_real_escape_string($comentario);
$comentario = strip_tags($comentario);
$comentario = utf8_decode($comentario);
$comentario = wordwrap($comentario, 50, "\n", true);

Asi es, crea una funcion para que se haga menos tedioso ;)