Hallo

Weil du das, deiner Beschreibung nach, pauschal machen willst.

Nur htmlspecialchars verwende ich pauschal. Ich such mal nach dem link wo das stand. Übersetz so nach dem Motto, alle POST Daten so behandeln, dann kein Javascriptcode durch Hacker möglich.

Tu es *nur dann*, wenn du die Daten (hier Strings) im HTML-Kontext ausgeben willst.

Beispiel: Die Eingaben eines Besuchers in einem Gästebuch müssen zum Abspeichern in einer MySQL-DB im Query mit mysql_real_escape_string maskiert werden. Wenn die Seite mit den Einträgen zur Ansicht aufgerufen wird, musst du *nun* die aus der Datenbank geholten Strings der Einträge mit htmlspecialchars behandeln, um etwaig vorhandene, unerwünschte Stringteile, z.B. JavaScript-Code, in der HTML-Ausgabe zu maskieren.

Tschö, Auge