Cita:
Iniciado por dashtrash 
Pues comprobando que se cumplen caracteristicas de un dato correcto: tamaño minimo, máximo, trim de espacios, si se permite html o no, detector de XSS para log, y algunas precauciones para mysql.
creo que validando un minimo, maximo y mysqli::real_escape_string basta, ya que el resto: xss, html.. no pasa nada si se guarda en la bd porque utlizo la funcion htmlentities en los echos. Es correcto??