Segurança

Ola galera,

Esse assunto(segurança) ja foi muito discutido no forum, ja li vario post.

Segue algumas dúvidas:

1 - Eu sempre usao anti-injection antes de fazer alguma operação no banco de dados, esse "anti-injection" essa função tem addslasshes, script tags e etc...

gostaria de saber se é necessario passar sempre todos os dados por esse tipo de função , ou seja, todos valores de todos inputs por exemplo, devem passar por esse tipo de tratamento? eu uso em todos, ja que a varival que vai inserir no banco pode ser forjada com comandos sql em qualquer lugar do sql, com uso de aspas por exemplo, mas o incomodo da função é fazer ficar um pouco mais lento ( ja que todos campos terão tratamenetos) e os dados a serem passados para o usuario devem ser receber um tratamento inverso ja uqe esse tipo de função coloca barra antes das aspas e etc...

2 - tem como forjar valores do hidden? por exemplo, tenho um hidden na tela que mand um valor para uma pagina qualquer , e esse valor sera passado em metodo post, como em grandes casos nosso hidden vai ter valor de acordo com alguma logica que implantamos no sistema, e mudamos esse valor dinamicamente ( mas sempre o sistema que faz isso), novamente, tem como enviar valores post, alterados??

algumas coisas que eu sempre faço( e que estou lembrando agora) para ajudar na segurança:

toda vez que vou reber um código inteiro(ainda não precisei de criar chaves primarias sendo string). uso aquela velha e boa formula--> (int)$codigoaserincluido , ja que se alguem mandar string ele converte para zero.

quando uso $_GET['variavel'], antes de fazer qualquer coisa valida com isset, empty, e se o valor for string passo ele pelo anti_injection para então fazer as comparações.

valeu.