Hallo,
ich habe ein PHP-Formular, welches persönliche Daten der User abfragt. Die Eingaben sollen in einer Datenbank gespeichert werden. Muss ich in Hinsicht auf die Datensicherheit unzulässige Zeichen in den Eingaben mit preg_match herausfiltern bevor ich sie übernehme oder reicht es aus wenn ich sie jeweils am Schluss mit einem "mysql_real_escape_string" "davor" abspeichere (Stichwort: SQL-Injection vs. Benutzerfreundlichkeit)? Oder gibt es noch was anderes, sinnvolleres?
Vielen Dank im voraus für eine Antwort.

LG Ju.lia