Ja se necu osvrtati na ovo sto ti je webarto rekao - pre svega zato sto je u pravu. Dakle ako hoces zaista bezbednu aplikaciju batali CI-ev AC! On se ne oslanja ni na PDO ni na MySQLi nego je maltene Query generator. Bar koliko sam ga ja za ove 2 godine aktivnog koriscenja upoznao. Sa druge strane - mozes da uzmes neki ORM (Propel, Doctrine) i da sve operacije nad bazom radis preko njega.
Elem, da dam odgovor na tvoje konkretno pitanje. Ako ukljucis XSS u config-u CI-a on ce te "zastiti" samo od XSS napada u smislu da ce svaki input filtrirati kao sto si i sam rekao od tagova tipa "<script>" itd... (
vise o tome). Naravno ovde je
obavezno koriscenje njegove Input klase. Ukoliko pristupis direktno $_POST-u npr. dzaba ti ukljucen XSS.
Kad je zastita od SQL injection-a u pitanju - ako ostanes pri tome da koristis CI-ev AC - ponasaj se kao da nema nikakvu zastitu i radi kao da radis sa PHP native mysql_* funkcijama. Kazem uradice on escape ali ne oslanjaj se preterano na to...
Nadam se da sam pomogao, ako sam pogresio ispravice me neko od iskusnijih clanova.