Hi,

wenn Du ihn in eine Datenbank ausgibst, also z.B. per UPDATE- oder INSERT INTO-Statement, führe eine SQL-Kodierung durch.

Gibst Du ihn in HTML-Code aus, führe eine HTML-Kodierung durch. Gibst Du ihn in ein PDF-Dokument aus, führe eine PDF-Kodierung durch. Gibst Du ihn in ein Husseldiguggeldiwaggel aus, führe eine Husseldiguggeldiwaggel-Kodierung durch.

OK.

In meinem Fall speichere ich meine Daten in einer MySQL-Datenbank und zeige sie dann über HTML den Client an.

Ich weiß noch immer nicht so ganz, ob ich unter SQL- bzw. HTML-Kodierung das richtige verstehe.

Hab gerade ein bißchen gegoogelt und auch was dazu gefunden:

1. Schritt: SQL absichern
vor dem Ausführen des SQL-Statements mysql_real_escape_string($String) ausführen.

2. Schritt: HTML absichern
vor dem Anzeigen (bzw. evtl. auch schon vor dem Abspeichern in die Datenbank htmlspecialchars($String) ausführen.

War das gemeint?
Habe ich auf diese Weise dann in meinem Fall alle Cross-Site-Scripting-Gefahren gebannt?

Viele Grüße,
Thomas