Validar para consulta

Hola ssssamigos, me gustaría hacer dos preguntas:

La primera:

¿¿Cuales son los caracteres que debo validar para hacer la consulta de mysql después que la persona manda su form??

La que tengo que me parece imprescindible es prohibir las comillas simples para que no jodan con eso de sql inyection, que otras cosas debo validar por seguridad de este tipo??

La segunda:

¿¿Es una buena práctica de programación hacer una función que por cada consulta que yo haga me abra la bd, haga la consulta y la cierre??

Gracias, al que me conteste le mando 3 patacones

Si trabajas con Mysql: mysql_escape_string() te solventa la mayoría de problemas con ese típo de caracteres como comillas y algunos más ...

Todo esto depende de como estés usando la directiva magic_quotes_gpc en tu configuración de PHP .. Por defecto y la mayoría de casos está a ON ... lo cual quiere decir que PHP "escapa" por tí caractes como comillas y algunos más (/) ... Pero, "por si acaso" .. si usas la función mencionada para Mysql ..o en su defecto urlencode() / urldecode() te evitas esos problemas.

Pero, si realmente no necesitas de algunos caracteres (sobre todo fuera del ASCII común) .. mejor que te hagas cualquier tipo de filtro para eliminarlos (o en su defecto avisar al usuario que su texto contiene caracteres no válidos) .. Con expresiones regulares puedes hacer esto último ...

Un saludo,

Gracias cluster por la respuesta, tengo otra pregunta teórica sobre la validación.

YO hice que en cada página que el usuario carga , llame antes de hacer cualquier cosa a una función que revisa absolutamente todas las variables que en algun momento se utilizan para hacer una consulta mysql (por ejemplo un textbox).

Uso isset y un for para revisar un array con todas las variables posibles, si encuentra una variable con ¨algo raro¨ lo avisa, eso hago en todas las páginas.

Está bien esa práctica? o es "poco seria"??

Saludos

tambien para que no te molesten algunos caracteres para guardarlos en la bd puedes ocupar htmlspecialchars();