Hi,

Dann reicht htmlspecialchars(). Wenn noch weitere Verarbeitungen erfolgen, ist es aber noch kein Ausgabestring. Für die Verarbeitung ist es eher hinderlich, wenn bereits Escape-Sequenzen für irgendein Ausgabemedium enthalten sind. Die Aufbereitung für die Ausgabe solltest du erst dann vornehmen, wenn die Ausgabe erstellt wird.

Die weiteren Verarbeitungen sind in dem Fall "nl2br" und "stripslashes", also sollte das kein Problem sein, oder?

Also spar dir die technische Mühe jenseits von htmlspecialchars(), den Inhalt musst du sowieso regelmäßig kontrollieren.

Das hatte ich auch nicht vor, ich wollte nur keinen Code und keine "komischen" Zeichen (z.B. ein nicht maskiertes Ä) in der Ausgabe.

Richtig. Die Verbindung zu (angenommenerweise) MySQL ist auch auf UTF-8 eingestellt?

Ja, es ist MySQL und auch als UTF-8 eingestellt.

bruno1