Elo mam pytanie czy takie "filtrowanie" wystarczy aby wykluczyć ataki przy przesyłaniu danych przy podobnym układnie kodu jak ten?
$id_produktu=$_POST['id_produkt'];
$id_produktu = addslashes($id_produktu);
$id_produktu = htmlspecialchars($id_produktu);
$ilosc=$_POST['sztuk'];
$ilosc = addslashes($ilosc);
$ilosc = htmlspecialchars($ilosc);
$cena_produktu=mysql_query("SELECT **** FROM ***** WHERE ******='$******'");
$wynik = mysql_fetch_assoc($cena_produktu);
$cena_p = $wynik['*******'];
$cena=$ilosc * $cena_p;
$wynik = mysql_query("INSERT INTO `****` (`*****` ,`*****` ,`******` ,`*****` ,`*****`)VALUES (NULL , '$*****', '$*****', '$*****', '$****')");
może dużo pogwiazdkowałem ale nie chce aby nazwy gdzieś wyciekły :)