Hi,

ich habe ein PHP-Formular, welches persönliche Daten der User abfragt. Die Eingaben sollen in einer Datenbank gespeichert werden. Muss ich in Hinsicht auf die Datensicherheit unzulässige Zeichen in den Eingaben mit preg_match herausfiltern bevor ich sie übernehme oder reicht es aus wenn ich sie jeweils am Schluss mit einem "mysql_real_escape_string" "davor" abspeichere (Stichwort: SQL-Injection vs. Benutzerfreundlichkeit)? Oder gibt es noch was anderes, sinnvolleres?

Durcharbeiten, auch die zweite Seite: http://wiki.selfhtml.org/wiki/Artikel:Kontextwechsel
Danach sollten eigentlich keine Fragen mehr offen sein.

MfG ChrisB