Hallo Leute.

In mein HTML-Formular können Benutzer einen Freitext eingeben. Z.B. folgenden String:

das'ist#mein$test%e*dd,SELECT *;dfds

Nun wird das ganze per PHP ausgewertet und als Suchstring für eine DB Abfrage verwendet. Wie kann ich die Benutzereingabe sicher machen?

Bei meinem jetzigen Versuch kommt

Warning: mssql_query() [function.mssql-query]: message: Falsche Syntax in der Nähe von 'ist#mein$test'. (severity 15) in ...  
Warning: mssql_query() [function.mssql-query]: message: Falsche Syntax in der Nähe von 'dfds'. (severity 15) in ...  
Warning: mssql_query() [function.mssql-query]: message: Kein schließendes Anführungszeichen nach der Zeichenfolge ' ORDER BY Nummer'. (severity 15)

Paul