Hi,

Übrigends:

Übrigens schreib man übrigens ohne d.

htmlspecialchars(); solltest du nicht zur Ausgabe verwenden. Wenn der Benutzer Daten in ein Formularfeld eingibt und es danach in der Datenbank gespeichert werden soll, dann kannst du beim übertragen die Funktion nutzen. Damit wird es durch die Funktion behandelt übertragen und behandelt in der Datenbank gespeichert.

So ein Unsinn.

Die Daten sollten nicht für HTML codiert in die Datenbank eingetragen werden.
Will man die Daten anderweitig (z.B. für eine Textmail oder für ein PDF) nutzen, hätte man bei Deiner Vorgehensweise unsinnige < usw. im Text.

Daten sollten genau dann für einen speziellen Kontext (z.B. HTML) aufbereitet werden, wenn sie in diesen speziellen Kontext eingebracht werden.

Beim Schreiben in die Datenbank wird also nicht htmlspecialchars angewandt, sondern die für die jeweilige Datenbank passende escape-Funktion (z.B. für mysql mysql_real_escape_string (genaue Schreibweise müßte ich raussuchen).

htmlspecialchars wird dann angewendet, wenn die Daten im Rahmen einer HTML-Seite ausgegeben werden sollen.

cu,
Andreas