Mahlzeit treziman,

Sonderzeichen dort zu verbieten, war meine ursprüngliche Idee, von der ich aber abgewichen bin, da die Email eh nie in einer Abfrage a la "...where email =...." auftaucht.

Was aber beim Beachten des Kontextwechsels kein Problem wäre.

An den anderen Formaten halte ich aber fest. Nicknamen wie "Dr. No" lassen sich auch mit "Dr_No" realisieren.

Aber warum sollte man das erzwingen? Warum hältst Du so zwanghaft an Deiner künstlichen und überzogenen Einschränkung der Eingabemöglichkeiten für Deine Benutzer fest?

Wenn ich Dich richtig verstanden habe, geht es Dir darum, Dein System "sicher" zu halten und "keine SQL-Injections zu riskieren"? Richtig?

Dazu ist *NICHTS* weiter nötig, als *ALLE* Kontextwechsel sauber zu beachten. Es ist *KEINESWEGS* erforderlich, Nutzdaten zu manipulieren oder Benutzer zu zwingen, sich einer falschen "Sicherheitsphilosophie" zu unterwerfen.

MfG,
EKKi