Guten Tag,

Ich weiß, mir geht es hier aber nur grad um die Suchfunkion, den Rest später

Das ist _genau_ die richtige Einstellung.

Auch die Ausgabe sollte man entsprechen behandeln. Eventuell ist XSS oder CSRF möglich.

Kannst du etwas näher erklären ?

Wenn du die Daten aus der Datenbank nicht angemessen an die neue Umgebung (HTML) anpasst, kann ein Angreifer bösartigen Code einbinden, z.B. JavaScript. Auch könnte ein argloser Nutzer versehentlich Zeichen mit Metabedeutung eingeben, z.B. doppelte Anführungszeichen, und damit den Ausgabekontext verändern.

Ansonsten findest du bei der Suchmaschine deines Vertrauens umfangreiche Informationen zu beiden Stichwörtern.

Gruß
Christoph Jeschke