hi,

Wenn ich eine Usereingabe erwarte benutze ich mysql_real_escape_string bevor ich die Eingabe in die DB puste. Wie sieht es aus, wenn checkboxen oder Radiobuttons übergeben werden? Ist es notwendig auch diese Daten zu validieren bzw. zu prüfen?

Natürlich.
Schliesslich wird für angekreuzte Checkboxen/Radiobuttons ein name=value-Paar übergeben, wie bei anderen Formularfeldern auch.

Was könnte mir schlimmstenfalls passieren, wenn ich diesen Daten blind vertraue? Wie könnte jemand sowas ausnutzen um Schaden anzurichten?

Er könnte die Daten genauso manipulieren, wie _jegliches_ andere Datum, welches du von ihm im Request übermittelt bekommst auch.

gruß,
wahsaga