Hej Clarence!
Som du säkert läste i början så är jag totalt ny inom back-end programmering, så jag klassas VERKLIGEN in under, citerar "de flesta förståelse för vad de escapar och försöker använda allting, alltid, och får helt plötsligt massa problem så fort de ska göra något utöver det ursprungliga.". hehe
Jag tänker som så att, när man kör in något i en query till databasen, så skall stringen vara escapad från all typ av php kod. Så att man inte kan skriva något fult som får hela databasen att raderas, eller dyl. Känns då som om mysql_real_escape_string() skulle fungera bra där. Just så att man får bort ' och " mm.
Men sen är det ju säkert viktigt också försöka få bort en hel del andra html taggar.
Jag tänker främst på om man skulle skriva såhär:
" ?> <script> någon skadlig kod </script> <?php "
Då vore det ju skönt om man hade använt strip_tags() så att det inte går att göra så.
Gör man detta redan vid input och förhindrar ett par olika säkerhetshål, så kan man sedan strunta i olika funktioner vid output, och på så sätt spara på kraft.
Rätta mig gärna om jag har fel i mitt tänkande
Andra punkter får gärna ges feedback på! Eller om jag kanske skulle ta och skapa en ny tråd med bara frågor utöver koden.. hm.