Şimdiye kadar bir çok yazı okudum, herkes kafasına göre bir çok fonksiyon yazmış. Benim istediğim kullanıcıdan form ile aldığım veriyi mysql'a göndermeden önce filtrelemek. Bunun için mysql_real_escape_string() yeterli olduğunu yazmış bir çok kişi. Eğer yeterli ise abudik kubidik fonksiyonları kullanmama gerek var mı?

Xss açığı oluşmaması için neler yapabilirim?

Sistemde bazı yerlerde SESSION ve COOKIE kullanıyorum. Bazı yerlerde sayfa.php?veri=ornek şeklinde kullanımlarım var. Bunları htmlentities($_GET['veri']) şeklinde filtreliyorum. <script>..</script> etiketlerini pasifleştiriyor bu ne kadar güvenilir?

Lütfen emin olmadığınız bilgi vermeyin, kafam yeterince karışık