Evitar XSS
Digamos que busqueda contiene la busqueda realizada

<? $busqueda=str_replace(”‘“,”······”,$busqueda); 
$busqueda=htmlentities($busqueda); 
echo “Resultados de $busqueda”; ?> 

Si te refieres a que el código estaba mal... es cierto. Tenía la intención de probar si era más eficiente el uso de expresiones regulares que addslashes... se acabo mi tiempo de ocio en el trabajo xD.

Lo edite para quitar el callback a la función que escapaba las comillas.

Un saludo,

Estoy aprendiendo PHP y note que esa funcion solo filtra los dos tipos de comillas unicamente en comparacion de mysql_real_escape_string que filtra: \x00, \n, \r, \, ', " y \x1a y evita una inyeccion: Lei esto

Yo por lo general uso esta funcion que encontre en la red (para mi la mejor )

<?php
// Aplicar comillas sobre la variable para hacerla segura
function comillas_inteligentes($valor)
{
   // Retirar las barras
  if(get_magic_quotes_gpc()){
       $valor = stripslashes($valor);
   }
 
   // Colocar comillas si no es entero
   if (!is_numeric($valor)) {
       $valor = "'" . mysql_real_escape_string($valor) . "'";
   }
   return $valor;
}
 
// Conexion
$enlace = mysql_connect('mysql_host', 'mysql_usuario', 'mysql_contrasenya')
   OR die(mysql_error());
 
// Realizar una consulta segura
$consulta = sprintf("SELECT * FROM usuarios WHERE usuario=%s AND password=%s",
           comillas_inteligentes($_POST['username']),
           comillas_inteligentes($_POST['password']));
 
mysql_query($consulta);
?> 

pero antes filtro los datos con htmlentities 


PD: es curioso y/o algo raro que un espacio " " juegue un papel importante aqui porque luego de escribir:


e intente previsualizar el post me muestre:


pero cuando escribo:

recien previsualiza el post