Форум PHP

Да.

а при занесении данных в базу применять mysql_real_escape_string?

У вас текст исказится, его потом нельзя будет редактировать - будут артефакты от повторного использования htmlspecialchars(). Эту функцию лучше применять один раз и при выводе из базы данных.

почему же, если мы проверим, что занесем в базу, то и выводится будут чистые данные... не так ли?

Скорее не проверяться, а выводиться. Да, это значительно снизить вероятность XSS-инъекции, однако.

они вставляются в поля формы заполняемые пользователем?

если все поля, вводимые пользователем буду проверятся через функцию htmlspecialchars() можно исключить возможность XSS-инъекции?

Нет, XSS-инъекция - это вставка JavaScript-выражений для отправки данных на сторонний хост. Тут скорее приходится функция htmlspecialchars().

а функция mysql_real_escape_string исключит возможность XSS-инъекции?

при использовании сессии в кукисах хранится только SID?

Да, будет довольно безопасно (насколько вообще можно добиться безопасности).

>или подвергаться будет взлому?
Подвергаться взлому система может по разным причинам. Если вы исключаете возможность XSS-инъекции, то и обычные сессии будут безопасны (так как для воровства cookie придется по сути устанавливать контроль над машиной клиента).

функция session_set_save_handler() сильно сложная получается...

будит ли безопасно, если мы хешировать будем пароль в md5 и проверять в течении работы пользователя в сессии его ip адрес на изменение? Вот и вся защита...или подвергаться будет взлому?