Hallo,

Kodiere jedes Datum, welches Du in irgend einen Kontext bringst, kontextspezifisch. Es ist nutzfrei, in den SQL-Kontext gebrachte Informationen einer HTML-Kodierung zu unterziehen. Der SQL-Kontext erfordert eine SQL-Kodierung.

1.) Ich möchte zum einen generell verhindern, dass durch HTML veränderte Texte abgespeichert und dann auch angezeigt werden.

2.) Es soll nicht möglich sein Javascript einzuschleusen.

3.) Es soll vor SQL-Injections gesichert werden, dabei sollen aber Anführungszeichen.

Meine Überlegung war:

ad.1+2) strip_tags für die ersten beiden Punkte
ad.3) mysql_real_escape_string(); für den 3ten.

Honda