respecto a las validaciones de formularios, quiero hacer un apunte (estoy absolutamente de acuerdo con todo lo que se ha dicho hasta ahora): Nunca hay que hacer una validación anti-SQLinjection con javascript(en el cliente). Sé que parece una tontería, pero cualquiera con un poquito de luces en el cerebro puede emular un formulario válido y jodernos la base de datos. Esa validación, siempre en el servidor.

Sé que parece demasiado evidente, pero seguro que a alguien se le habrá podido ocurrir.

Un saludo, monstruos!!!