Hallo Pit,

du müsstest 3 Sekunden darüber nachdenken, welche Arten von Zeichen in deiner Datenbank stehen, und je nach Ergebnis noch htmlspecialchars() hinzufügen.

Beim Empfangen darfst Du Dich nicht darauf verlassen, dass Du das Form so zurückbekommst wie Du es gesendet hast. Pöse Purchen (die man zu Poden chleudern sollte) sind überall, und wenn jemand am Form herummanipuliert und Dir ungültige Keys sendet (vielleicht sogar mit SQL Injection drin), dann darfst Dich das deinerseits nicht zu Poden chleudern...

Rolf