Hallo Fabian,

In die Datenbank sollte wirklich nur der in das Formular eingegebene Wert eingetragen werden, d.h. Funktionen wie strip_tags() oder htmlentities() sollten erst bei der _Ausgabe_ angewandt werden.

ich habe irgendwo gelesen, dass strip_tags unbedingt angewandt werden soll, damit man keinen php-Code einschleusen kann, der evtl. bösen Schaden anrichtet?! htmlentities erst bei der Ausgabe ist ja logisch.

Dazu gehört übrigens auch die Entfernung eventueller Maskierungs-Backslashes (bedingt durch magic_quotes).

Heißt das, mein Problem beruht auf magic_quotes? Aber außer strip_tags verwende ich doch nichts vor der Übergabe!?

Stattdessen solltest du beim Eintragen auf Funktionen wie mysql_real_escape_string() zurückgreifen, die alle diejenigen Zeichen maskieren, die beim Eintragen Probleme machen könnten.

Ist das die "korrekte Behandlung", die wahsaga von mir fordert?

Gleichzeitig schützt du dich dadurch vor SQL-Injections.

Sind Injections die von mir o.g. Code-Einschleusungen, die ich per strip_tags zu entfernen trachte?

Vielen Dank für deine wie so oft sehr ausführliche Antwort!
Gruß -
Sebastian