Hallo,

Ich denke mir eben nur, dass das nichts anderes ist als das, was ich vorher schon gemacht hab:

if($_POST)
{
	foreach($_POST as $key=>$value)
	{
		$_POST[$key]= mysqli_real_escape_string($value);
				
		if (stripos($_POST[$key], "<script") !== false)	//Check more?
		{
			unset $_POST[$key];
			//Warn or delete User!
		}
	}
}

doch, das ist etwas ganz anderes. Erstens wendest du hier schon mysqli_real_escape_string() an, obwohl von einer Übergabe der Daten an die DB weit und breit noch nichts zu sehen ist (auch wenn die vielleicht später tatsächlich erfolgt), und zweitens gilt es als sehr schlechter Stil, veränderte Daten in $_POST zurückzuschreiben, wo man eigentlich unverfälschte Eingabedaten erwartet.

Ciao,
 Martin