כבוד על ההשקעה אבל הקודים שלך ממש לא חכמים...
PHP קוד:
$formString = strip_tags(htmlspecialchars($_POST['string']));
גם מוחק וגם הופך תגים לתוויות מתאימות. צריך רק אחד מהם (אני אישית בעל htmlspecialchars).
PHP קוד:
$intValue = is_numeric($_GET['id']) && intval($_GET['id']) > 0 ? $_GET['id'] : die("Invalid id value");
נתחיל מזה שהפונקציה intval לא ממש יעילה ופה גם מיותרת אם אתה כבר יודע שהמשתנה הוא נומרי. הפתרון החכם הוא או להמיר לint ואז לוודא שהמספר אכן קיים בDB או להשתמש בescaping או משהו בסגנון.
PHP קוד:
$value = strip_tags(htmlspecialchars(mysql_real_esace_string($_GET['string'])));
אותו סיפור כמו קודם...