Hallo,

"/><script>while(true){}</script>
Nun sag mir mal, was daran für wen gefährlich werden kann.

Ja, genau das wird in http://www.dclp-faq.de auch beschrieben.

Man sollte aber in an der passenden Stelle das richtige mit den Daten veranstalten uns sie nicht irgendwo zwischendrin "verkurbeln".

Ja, aber Eure Trennung zwischen Eingabe und Ausgabe sehe ich nicht. In den meisten Scripten wird nach Absenden des Formulars der Response aus den empfangenen Formularinhalten generiert. Sie werden nicht erst in die Datenbank geschrieben, dann wieder aus der Datenbank gelesen und dann erst für den Response verwendet. Nur dann aber wäre mysql_real_escape_string() ausreichend als Absicherung. Darauf wollte ich hinweisen.

viele Grüße

Axel