Hello,

zur Frage aus dem Subject: Kein Formular anbieten.

mysql_real_escape_string in die MYSQL Datenbank geschrieben, aber wenn ich dort einen php Code reinschreibe, wird dieser vieleicht beim ausgeben der Datenbank ausgeführt.

mysql(i)_real_escape_string ist nur relevant für die Textschnittstelle von MySQL - aber von Dir durchaus richtig angewandt.

-> Artikel "Kontextwechsel" im SelfHTML-Wiki.

Dort gebe ich zum Beidpiel folgendes ein:

</textarea>'; $i=1; echo $i; echo'<textarea

wenn es dann wieder aufgerufen wird, bekomme ich wahrscheinlich die 1.

"Es" wird nicht "aufgerufen", sondern ein Datenbankinhalt wird per HTML ausgegeben.
Hierzu musst Du nur wieder den Kontextwechsel berücksichtigen. Die bloße Ausgabe von Daten führt aber bei PHP nicht zur Interpretation als Befehl. Dazu wäre ein "include", "require" oder "eval" notwendig.

-> Artikel "Kontextwechsel" im SelfHTML-Wiki.

Wenn Du allerdings die übertragenen Daten aus dem Formula auf der Platte speicherst, dann kommen die Probleme von "Uplods" hinzu.

-> Artikel "Fileupload" im SelfHTML-Wiki.

Der gilt auch für jeglichen anderen Inhalt, der per Post, Put, oder Get auf den Server gelangst, wenn er dort gespeichert wird und anschließend irgendwie per HTTP/s zugänglich wird.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg