Hi,

Ich will nur verhindern, das SCHADcode auf meinen Server kommt und diesen einfach nicht zulassen.

"Schadcode" ist immer relativ zum Kontext zu sehen, in den die Usereingaben ausgegeben werden.
htmlentities/htmlescape säubert die Usereingaben u.a. von HTML, so dass die meisten Cross-Site-Scripting-Attacken unmöglich werden. Die Usereingaben können aber auch z.B. SQL enthalten, welche deine Datenbank löschen oder verändern. Dann musst du z.B. mysql_real_escape (oder vergleichbare Funktionen, welche deine Datenbank/dessen Treiber) anbieten.

Alles, was du darüber wissen willst und musst, steht im Artikel Kontextwechsel.

Bis die Tage,
Matti