Hallo,

Nun stelle ich mir aber die Frage wie ich den Input in PHP *sicher* verarbeite sodass der User keinen Unfug reinschreiben kann (das ganze wird - nona - in eine Datenbank geschrieben).

Ich glaube du suchst mysql_real_escape_string().

Hmm, nein, eher nicht. Wegen dem Escapen der SQL Statements mache ich mir weniger Gedanken, das macht Zend Framework für mich.

Mir geht es um Site-Cross-Scripting Attacken & Co.

Was ist, wenn ein User einfach ein JavaScript eingibt statt "braven" HTML-Code???