Witam,
Piszę skrypt który będzie używany przez większość a nie tylko przez administratora dlatego musiałbym zastosować mocniejsze zabezpieczenia przed sql injection.

Przy liczbach stosuje:
(int) np.

[PHP] pobierz, plaintext 
<?php
$liczba = (int) $_POST['dana'];
?>
[PHP] pobierz, plaintext 

Przy wpisach/dodawaniu do mysql stosuję:
mysql_real_escape_string
addslashes
aby uniknąć xss stosuje htmlentities

Jakie jeszcze filtry mogę zastosować?
Wiem że jest temat przyklejony odnośnie tego ale każdy stawia inne rozwiązanie do odpowiedniego skryptu i nie można zawsze przenieść rozwiązań do własnego.
Pozdrawiam i liczę że pomożecie.

wstarczy, że będziesz spr czy to co user przesyła jest tym co powinien przesłać czyli jak ma wpisać wiek to spr czy jest liczbą, jak kod to czy pasuje do \d{2}-\d{3} etc etc jeśli nie to die( ) i juz

// jakie jeszcze mozesz zastosowac? wsio masz w topiku o ktorym wspomniales, piszesz ze Twoj serwis wymaga czegos specjalnego, a nie piszesz nic o nim wiec na jakiej podstawie mamy cos konkretnego doradzic?

A po co Ci addslashes przy mysql_real_escape_string?

Przy rejestracji nie ma takiej możliwości kontrolowania.
Wiek sprawdzam za pomocą funkcji checkdate.

Na stronie do aktualności/artykułów będzie możliwość dodawania komentarzy teraz zachodzi pytanie jak filtrować treść komentarzy.
html się wytnie, ale co z injection?
Zamiast html będzie bb-code.

addslasches usunęłem, dzięki za radę.

Jeżeli tak bardzo chcesz się zabezpieczać, możesz skorzystać z biblioteki PDO, gdzie podaje się typ przekazywanej zmiennej i ew. jej długość.

W innym przypadku, jak już pisali mysql_real_escape_string, ja bym dodał wyrażenia regularne. (określasz "bezpieczny" dozwolony ciąg np. tylko a-z i 0-9 [np. dla logowania])

No racja wyrażenia regularne też są dobre.
Wtedy łatwo określić co może posiadać login.

Zapoznam się z biblioteką PDO.