Hi!

Ich will verhindern, dass jemand SQL Befehle ausführen kann.
Dazu brauchst du einzig und allein die Funktion, die die Daten entsprechend escaped, so dass sie im Zweifelsfalle keinen Schaden mehr anrichten können - für MySQL wäre das in PHP mysql_real_escape_string.

Ja, aber in einem Newsletterscript müssen noch weitere Prüfungen ausgeführt werden.
Neben der Gefahr einer SQL-Injection bestünde auch noch die Gefahr eine Email-Header-Injection.
Auf gar keinen Fall dürfen beispielsweise Zeilenumbrüche im Eingabefeld für Adresse, Name, ... eingegeben werden.
Headerzeilen werden nämlich durch Zeilenumbrüche voneinader getrennt.
Und wenn es möglich ist, der Mailfunktion eigene Header zu übergeben, dann könnte man es zum Spammen nutzen.

Die Themen mit den Emailscripten und SQL-Injections haben wir hier alle paar Tage wieder.
Bitte, Guma, benutze ich die Suchfunktion dieses Forums und schaue auch mal im Archiv.
Eigentlich müßtest du dort alles finden können, was du brauchst (Auch reguläre Ausdrücke zur Überprüfung der syntaktischen Richtigkeit von Emailadressen).
Wenn danach noch Fragen offen sind, kannst du diese ja hier stellen.

Schöner Gruß,
rob