Cita:
Iniciado por buzu 
Me permito diferir con esto:
Ningún símbolo es peligroso si es tratado correctamente. Personalmente prefiero no restringir el uso de símbolos en contraseñas para poder brindar al usuario la posibilidad de crear combinaciones más seguras.
claro, lo preguntaba por ésta clase de inyecciones:
' OR ''='
* usuario: admin AND /* password: */ ''='
* usuario: ' OR 1=1 //
por éso necesito eliminar ciertos caracteres; las comillas básicamente y el '$'.
le puse esta función:
function login($cadena){
$cadena=htmlentities(stripslashes(trim(($cadena))) );
$cadena=strip_tags($cadena);
$cadena=str_replace("$","",$cadena);
$cadena=str_replace("'","",$cadena);
$cadena=str_replace(";","",$cadena);
$cadena=str_replace("*","",$cadena);
return $cadena;
}
y cuando envío las variables en sql le paso el mysql_real_escape_string().
está bien así?