Lieber Andi,

Gibt es etwas gravierendes an dieser Vorgehenweise auszusetzen?

ja. Du enkodierst übermittelte Daten in ein Format, das nur in einem ganz bestimmten Kontext einen Sinn hat. Die Funktion htmlspecialchars enkodiert für den XML/HTML-Kontext. Aber Du willst ja die Daten nicht für den HTML-Kontext, sondern für den SQL-Kontext "entschärfen". Dafür bräuchtest Du eine andere Funktion.

Es ist grundsätzlich besser, Daten erst an Ort und Stelle für den genau dort geltenden Kontext zu enkodieren. Siehe hierfür das SELFHTML-Wiki zu kontext-gerechtem Enkodieren.

Liebe Grüße,

Felix Riesterer.