Also mit dem Backslashen der Hochkommata hast Du im Endeffekt die meissten sachen dicht. Grundsätzlich gelten die folgenden Zeichen als nicht sicher:
` .; \ / @ & | % ~ < > " $ ( ) { } [ ] * ! '
Die sollte man zum Beispiel immer aus where Klauseln rausparsen.
Wenn Du es Dir einfacher machen willst, dann kannst Du gerade bei Where Klauseln auch einfach die übergeben Werte auf int casten (das wurde beim ipb einige male vergessen und führte dann zu sicherheitslöchern )
also so:
/* typecast zu integer */
$id = (int) $_GET['id'];
/* intval Funktion macht dasselbe */
$id = intval($_GET['id']);
Post-Variablen sind dabei genauso unsicher wie Get-Variablen, da sie ebenfalls gefaket werden können, dies kann man dann ggfs via Referer Checks absichern.
Also wenn Du die Queries alle so auslegst, dass Du möglich immer nach Ganzzahlen abfragst, dann lässt sich das so recht einfach Wasserdicht machen. Ansonsten musst Du auf jeden Fall die Zeichen rausparsen.
"derDerSeinPasswortVergessenHat" Christian ;)