Moin,

Wenn ich eine Usereingabe erwarte benutze ich mysql_real_escape_string bevor ich die Eingabe in die DB puste. Wie sieht es aus, wenn checkboxen oder Radiobuttons übergeben werden?

Auf jeden Fall solltest Du eine Kontrollstruktur bauen, mit welcher Du sicherstellst, dass ausschließlich nur von Dir erlaubte Parameter im URI vom Script verarbeitet werden.

Und wenn die Menge der zu erwarteten Values auf bestimmte Parameter begrenzt ist, solltest Du auch die Values auf Gültigkeit prüfen.

roro