{% else-1 %}
автоматом фильтрует все переменные $_POST и $_GET .
просто надо установить этот код в самый верх скрипта
посмотреть пример работы: http://вашсайт/test.php?tivibu=<h1>test

когда-то (примерно года 3 назад) , этот кусок кода продавали за 300 руб и больше.
если появились трудосты или не знаете как пользоваться, обращайтесь в Л.С - помогу

                        
test.php:
<?
foreach($_GET as $key=>$value){
$_GET[$key]=mysql_escape_string(stripcslashes(htmlspecialchars($value)));}

foreach($_POST as $key=>$value){
$_POST[$key]=mysql_escape_string(stripcslashes(htmlspecialchars($value)));}


echo $_GET['tivibu'];
?>
2 102 1
0

Нет фото
Jvk30 * 0.43
• 27 апр 2016, 11:30


PDO юзайте с плейсхолдерамы вот и защита от sql inj

0

Нет фото
VarrkaN * 0.35
• 5 дек 2014, 23:46


мдеее... Для гениев пример:

$_POST=array_map('strip_tags', $_POST);

Вместо:

foreach ($_POST as $key => $value){
$_POST[$key]=strip_tags($value);
}

Надеюсь понятно объяснил...

0

Нет фото
Tivibu * 2.38
• 25 ноя 2014, 00:51


VarrkaN, и?

0

Нет фото
VarrkaN * 0.35
• 25 ноя 2014, 00:10


array_map — Применяет callback-функцию ко всем элементам указанных массивов

0

Нет фото
Psih * [мошенник] 7.2
• 21 июн 2014, 09:28


**