Hallo

Das kann ja nicht passieren, weil du da ja mysql_real_escape_string() benutzt, um in die Datenbank zu schreiben.

die löst bei mir seltsame Ergäbniße aus..

... die sich wie zeigen?

darf man eigtl auf dei verzichten und sich auf htmlenitites beschränken?

Nein, Sven schrieb nicht umsonst ausdrücklich "kontextabhängig". mysql_real_escape_string, wenn es um MySQL geht, htmlentities, wenn es um HTML geht.

oder sollte man sicherheitshalber noch beide einsetzen?

Beim speichern geht es um MySQL, also benutzte mysql_real_escape_string um die zu speichernden Strings von für MySQL schädlichen Zeichen zu befreien.

Bei der Ausgabe werden diese Maskierungen von MySQL selbsttätig entfernt. Dafür wird, wegen der Ausgabe in einer HTML-Seite, die Maskierung der in diesem Zusammenhang gefährlichen Zeichen wichtig. Und die entfernt/maskiert man mit htmlentities.

Alle Klarheiten beseitigt? :-)

Tschö, Auge