Hallo liebe Community!

Ich habe ein Problem: Ich habe ein simples Gästebuch entwickelt, bei dem der User Daten wie Name, Email, Homepage und einen Kommentar in ein Formular eigeben kann. Die Daten werden dann an ein PHP-Script weitergereicht und in eine MySQL-Datenbank eingetragen.

Eigentlich dachte ich bisher immer, dass da nichts schiefgehen kann, bis mich vor kurzem ein Bekannter auf die Möglichkeiten von SQL-Injection und Cross Server Scripting aufmerksam machte.

Ich habe zwar die eingehenden Daten immer mit htmlspecialchars() und trim() bearbeitet, aber das ist offensichtlich nicht ausreichend. Daher meine Frage: Wie muss ich eingehende Daten validieren, um vor SQL-Injection und XSS geschützt zu sein? Ich denke mir, dass das bei einem doch recht simplen Gästebuch wie diesem nicht so schwer sein kann. Dennoch bin ich mir nicht bewusst, worauf es ankommt, und würde mich sehr über eure Hilfe freuen!

Danke im Voraus und schöne Grüße,
Constantin