Tengo un código PHP heredado que intenta evitar la inyección de scripts / SQL con lo siguiente:
if (!empty($_POST)) {
reset($_POST);
while (list($k,$v)=each($_POST)) {
if(!is_array($_POST{$k}))
{
$val=str_replace("&","&",htmlentities($v,ENT_QUOTES));
$$k=$val;
//$_POST{$k}=$val;
if (!get_magic_quotes_gpc())
$_POST{$k}=$val;
else
$_POST{$k}=stripslashes($val);
}
}
}
Lo mismo se replica exactamente para $ _GET también.
¿Es esto suficiente para evitar la inyección de script / SQL?