Moin!

Das kann ja nicht passieren, weil du da ja mysql_real_escape_string() benutzt, um in die Datenbank zu schreiben.

die löst bei mir seltsame Ergäbniße aus.. darf man eigtl auf dei verzichten und sich auf htmlenitites beschränken? oder sollte man sicherheitshalber noch beide einsetzen? JS-einschübe brauche ich ja auch nicht unbedingt :=)

Die Reihenfolge ist eigentlich ganz einfach:

Rohtext kommt aus der Textarea.
-> mysql_real_escape_string()
 -> schreiben in die Datenbank.

Rohtext kommt aus der Datenbank.
-> htmlspecialchars()
 -> schreiben auf die HTML-Seite, z.B. auch in eine Textarea.

Auf diese Weise kommt immer genau das dort an, wo man es brauchen kann.

- Sven Rautenberg