Hallo allerseits,

Ich frage Eingaben per Formular ab, diese Eingaben werden in eine Datenbank geschrieben und direkt wieder angezeigt und zwar diesmal sowohl im Formular, also auch normal.

Meine Frage ist ganz einfach: bin ich mit folgender Vorgehensweise vollkommen auf der sicheren Seite, oder muss ich noch andere Dinge beachten?

a) die User-Eingabe sicher machen, so dass mir keiner meine SQL-Befehle zerschiessen kann:
reicht da 'addslashes(String x)' aus?

b) die Datenbankergebnisse so hinbiegen, dass ich eine Ausgabe in ein Formular machen kann:
TEXTFIELDS (<input...>): 'htmlentities (htmlspecialchars (String x))'
TEXTAREAS: htmlentities(String x)
?

c) die Datenbankergebnisse so hinbiegen, dass ich eine normale Ausgabe machen kann:
einfach nur 'htmlentities(String x)' ???

Sind mit dieser Verwahrensweise dann alle Probleme gegessen???

Danke fuer jeden Kommentar!!!

Eddie