Si en realidad y he averiguado.
pero para mi es algo enrredado pues,

al ingresar un dato a la bd devo pasarlo por mysql_real_escape_string()

al recivir un $row de una query devo pasarlo por htmlentities.
Ademas se deven colocar cada vez que aparecen los $row?

pero existen varios otros que si tubiera que aplicarlos todos no se como lo haria, creo que creando una funcion
como esta:

http://www.forosdelweb.com/f18/codigo-seguridad-795120/


gracias