hi,

meine frage ist also, was muss ich alles genau beachten, wenn ich formular-angaben wie namen, email, etc. in mein scipt mit einbaue und sie gegenbenfalls in die datenbank schreibe, damit mir keiner einen code (php oder mysql) unterjubelt ?

eigentlich sollte mysql_real_escape_string() alles abfangen, was zum kompromitieren der DB selbst über sql injections tauglich wäre.

php-code in der übergabe - wen kümmert's? wenn du nicht nachher irgendeinen unfug in der form eval($datenbankinhalt) machst, sollte dich das doch recht wenig interessieren müssen ...

gruß,
wahsaga