Den charset gibst du als Attribut fuer den Content-Type mit,
also z. B.
header('Content-Type: text/html; charset=ISO-8859-1');
in PHP.

aha, mal nachlesen...

Das ganze kann man recht einfach
'normalisieren':
$txt = preg_replace('/\015\012|\012|\015/',"\n",$txt);
und schon sind garantiert alle Newlines mit '\n' maskiert.

das mache ich also, mit dem String der aus dem Formular kommt - noch bevor ich irgendetwas anderes damit mache ja?

Ich meinte, dass du pruefst, ob die Werte auch sinnvoll
sind. Will heissen, ein
mysql_query("insert into blahr (blub) values ('$var')");
ist *nicht* sicher. Da sind die Werte weder escaped worden,
noch auf Plausiblitaet ueberprueft worden.

ach so, ja escapen tue ich alles was reinkommt (bzw. das macht der magic_quotes meines Providers auch).

ansonsten werden 'nur' Strings verarbeitet und ich überprüfe z.B. nicht die korrekt Syntax einer e-mail Adresse (bringt ja eh nichts).
Die Zahlen, die vorkommen werden vorher aus der Datenbank geholt und nachher wieder reingeschrieben. Sollte man da überprüfen, ob es Zahlen sind?

gruß, Andreas