Vean esta funcion y diganme que les parece para pasar por ella todo GET_ y POST antes de usarlo
function valid($mensaje){
//esta funcion retira caracteres html
$mensaje = str_replace("<","<",$mensaje);
$mensaje = str_replace(">",">",$mensaje);
$mensaje = str_replace("\'","'",$mensaje);
$mensaje = str_replace('\"',""",$mensaje);
$mensaje = str_replace("\\\\","\\",$mensaje);
// escapando todos los valores que puedan interferir en mysql_query
$mensaje = addslashes($mensaje);
//retirando palabras reservadas del sistema
$mensaje = str_replace("SELEC","",$mensaje);
$mensaje = str_replace("OR","",$mensaje);
$mensaje = str_replace("UNION","<",$mensaje);
return $mensaje;
}
La parte en la que retiro SELEC, OR y UNION, creo se si se pueden poner sus caracteres HTML, tengo que mirarme eso.