Hallo ihr beiden,

also wenn ich das jetzt richtig verstehe:
mysql_real_escape_string() beim Speichern der Daten in der Datenbank
und:
htmlspecialchars() beim Auslesen der Datenbank und Einfügen der Werte in die Webseite (HTML).

Reicht das? Fange ich damit alles gefährliche ab? Und ihr redet immer von Ausgabekontext. Ich will die Daten eigentlich nur aus der Datenbank in eine HTML Seite schreiben. Was gibts denn da sonst noch? Kann ich htmlspecialchars() dann nicht gleich beim Reinschreiben verwenden?

viele Grüße,
der Mirko