hi,

Wäre das (einigermassen) OK

Eine schöne Übung aber das geht an Deinem Ziel vorbei. Es sind mehrere Dinge zu beachten:

Zum einen bekommst Du Daten aus einer nicht vertrauenswürdigen Quelle, dem Formular. Hier wäre abzusichern, das keine SQL-Attacke eingeschleust werden kann, sondern nur die Daten. Verwende einen DB-Treiber, der mit Platzhaltern arbeitet, da werden die Eingaben der DB-Engine entsprechend automatisch so gequoted, dass nur passive Daten ankommen (PDO, mysqli).

Das Nächste ist die Zeichenkodierung. Hierzu ist in erster Linie die Quelle zu beachten, d.h., stelle sicher, dass das Formular bereits beim Ausliefern an den Browser eine definierte und Dir bekannte Kodierung bekommt. So kannst Du davon ausgehen, dass die submitteten Daten dieselbe Kodierung haben (was aber auch nicht immer der Fall ist, wenn der Benutzer vor dem Submit eine andere Kodierung einstellt).

Betrachten wir des Weiteren HTML Entities. Eine DB Engine kennt sowas gar nicht, der ist das völlig Wurscht. Ergo kannst Du darauf verzichten.

Und nimm Dir mal richtig Zeit für den Artikel "Kontextwechsel"

Hotti