@@mcgeek:

nuqneH

ich möchte unbedingt alle Daten, die vom Client zum Server übertragen werden, auf potentiell gefährliche Zeichen bzw. Textfragmente überprüfen bzw. diese komplett rauswerfen.

Aber nicht beim Datenempfang!

Sondern bei der Ausgabe:

Wenn du die Daten in eine Datenbank schreibst, möchtest du bspw. NICHT vorher '<' in '<' umwandeln, sondern '<' unverändert in der DB haben. Beim Schreiben in die SQL-DB möchtest du die Daten so behandeln, dass keine SQL-Injections möglich sind.

Wenn du die Daten in auf eine Webseite ausgibst, d.h. in den HTML-Quelltext schreibst, DANN möchtest du '<' in '<' umwandeln, damit kein XSS möglich ist.

Wie schon gesagt wurde: Die Behandlung der Daten hägt immer vom jeweiligen Kontext ab.

Qapla'