Hi,

Anders ausgedrückt. Bei Eingang mysql_real_escape_string und bei Ausgabe htmlspecialchars.

Hör' auf, in "Richtungen" wie Ein- und Ausgang zu denken.

Verinnerliche stattdessen, dass du bei jedem Wechsel des *Kontextes* die Daten entsprechend den Regeln des Kontextes, in den sie überführt werden sollen, zu behandeln hast.

Und mysql_real_escape_string nimmt tatsächlich Kontakt zur DB auf??

Beschreibt das Manual nicht recht eindeutig, was die Funktion in der Hinsicht macht?

MfG ChrisB