Hi,

Nein! Übernimm Eingangsdaten erstmal so, wie sie sind. Das passt schon. Erst beim Übertragen in andere Kontexte oder Formate (SQL, HTML, JSON, whatever) wird der Wert behandelt. Und zwar speziell auf den Zielkontext angepasst. Für SQL brauchst du eine andere Aufbereitung als für HTML, fürs Speichern in eine Textdatei vielleicht sogar überhaupt keine. Aber bitte keine Pauschalbehandlung unabhängig vom weiteren Verarbeitungsweg.

Okay, ich verstehe. Jeder Kontextwechsel braucht (oder eben auch nicht) ein bestimmte Aufbereitung der Daten.

ja, genau.

Aber POST-Werte, die man in eine Datenbank übertragen möchte, müssen doch stets irgendwie gefiltert werden, oder?

Ja, aber erst dann, und nicht vorher. Und dann mit mysqli_real_escape_string(). Andere Datenbanken wie z.B. sqlite brauchen möglicherweise wieder andere Maskierungen.

Bei der Verwendung von Prepared Statements ist aber auch das AFAIK nicht mehr erforderlich (man möge mich bitte korrigieren, wenn das Unfug ist).

Einen schönen Tag noch
 Martin