Quitar codigo mal intencionado o peligroso

Que tal estoy atrapado con algo que no me enseñaron en la escuela y por eso nuevamente recurro a la comunidad cristalab, supongo que es un problema con el que muchos se habrán topado.

Resulta que existe un sitio en internet donde el usuario Rellena un campo y ese campo se almacena en una base de datos algo como lo que ocurre en cada post de los foros de cristalab, entonces para ello utlizo un textarea, que depues aplico una interfaz WYSIWYG libre que me encontre por ahi en internet, lo que quiero evitar aqui es que el usuario malintencionado ponga etiquetas como <fom>, <script> u otras, Hay alguna manera de omitir este tipo de cosas a la hora de guardar el registro en la BD?

Sé que existe una instruccion en PHP que remueve las etiquetas de un campo strip_tags si no recuerdo mal, ¿cual es la mejor forma de evitar la insercion de código mal intensionado?

con esa funcion te iria bien pero tambien puedes utilizar mysql_real_escape creo q se llama asi o algo parecido ademas si tambien usas ajax podrias usar escape antes de mandar los datos a la base de datos saludos

Adicionalmente puedes usar:

strip_tags()
stripslashes()

y hacer castings al generar las sentencias sql:

Código :

$sql = "...WHERE `id` = " . (int) $id;

Libro recomendable:
php|architect’s Guide to PHP Security

¿que es un casting? ¿Es lo mismo que un fitro, es decir usar WHERE en la sentencia?

Gracias por la recomendación del libro, trataré de conseguirlo

El cast, siempre lo utilizo. Es genial.

Cast, es convertir una variable a un datatype(tipo de dato) específico.

Por ejemplo, una variable que esperamos siempre sea númerica, podemos convertirla a integer, de esta forma:

Código PHP :

$algo = "adasd";
echo (int) $algo;
$algo = "8";
echo (int) $algo;