Hallo Rolf,

P.S.: Soweit ich gelesen habe, ist es nicht nötig, filter_input zu verwenden, wenn man mit PDO arbeitet, oder?

Klingt nach frisch gepresstem Konfusel.

Du musst für jeden Kontextwechsel die richtigen Werkzeuge einsetzen. filter_input dient zum Prüfen, ob ein Eingabewert das richtige (fachliche) Format hat und kann auch ein paar unerwünschte Zeichen ausfiltern. Aber den Kontextwechsel von Input zu Datenbank machst Du durch mysqli::real_escape_string oder durch PDO::quote, wenn Du Daten ins SQL einsetzt, oder durch Einsatz von prepared statements.

danke für die Aufklärung. Ich habe mich schlecht ausgedrückt. Ich meinte, ich habe gelesen, man kann auf filter_input verzichten, wenn man die prepare()- bzw. bindValue()-Funktion des PDO-Moduls verwendet.

Viel wichtiger ist es nachher, wenn Du die Daten wieder ausgibst, htmlspecialchars zu verwenden.

Ja, das mache ich mittlerweile auch immer.

Das Self-Wiki hat zum Kontextwechsel einen Artikel mit zwei Teilen, hier. Der erste Teil ist abstrakter, der zweite Teil (am Ende des ersten verlinkt) geht mehr auf Technik ein.

Ich glaube, ich hatte damals, als du mir den Link geschickt hast, den ersten Teil des Artikels gelesen. Den zweiten allerdings noch nicht. Werde ich auf jeden Fall nachholen, danke!