скрипт получает данные из формы, которые потом вставляются в sql запрос. Данные могут быть и числами и строками. как правильно обработать эти данные чтобы избежать sql инъекций. Достаточно ли использовать функции intval(), strval(), htmlspecialchars() и mysql_real_escape_string()
достаточно mysql_real_escape_string() Впрочем для целых чисел лишним не будет и intval() Можно еще работать через MySQLi и использовать связку Код (Text): stmt->prepare() stmt->bind() stmt->execute() В последнем случае никакой дополнительной обработки данным делать не обязательно (т.е. mysql_real_escape_string(), intval() - не нужны)
это php расширение php_mysqli (есть еще php_mysql) И то и другое работает с MySQL А вообще, мануал замечательная штука