Weil du das, deiner Beschreibung nach, pauschal machen willst.

Nur htmlspecialchars verwende ich pauschal. Ich such mal nach dem link wo das stand. Übersetz so nach dem Motto, alle POST Daten so behandeln, dann kein Javascriptcode durch Hacker möglich.

mysql_real_escape_string behandelt Daten, die mit einem MySQL-Query benutzt werden, wenn z.B. Daten in eine DB eingetragen werden oder diese, im Rahmen einer WHERE-Klausel, zur Abfrage von Daten dienen.

Ja, das benutz ich so. Bei Strings. Oder settype bei Integer, Float und Bolean.

Dann *und nur dann* kommen diese Funktionen zum Einsatz. Näheres erklärt der schon von Chris verlinkte Artikel.

Interessant. Aber für Nichtprofis schwer.