Hi!

In mein HTML-Formular können Benutzer einen Freitext eingeben.
Nun wird das ganze per PHP ausgewertet und als Suchstring für eine DB Abfrage verwendet. Wie kann ich die Benutzereingabe sicher machen?

Indem du den Kontextwechsel beachtest.

Warning: mssql_query() [function.mssql-query]: message: Falsche Syntax in der Nähe von 'ist#mein$test'. (severity 15) in ...

Du verwendest also MSSQL. Dazu steht etwas im Abschnitt SQL der Fortsetzung des verlinkten Artikels. Empfehlung: nimm Prepared Statements.

Lo!