Hello,

solange Du den Code nicht an eine aktive Schnittstelle (Datenbank, System-shell) übergibst, passiert damit nicht viel.

Um die Daten in einer SQL-Datenbank zu speichern, sind sie von PHP per default 'escaped', also bestimmte Zeichen mit Backslashes maskiert. Diese automatische Maskierung stellt aber nur einen allgemeinen Grundschutz dar. MySQL hat die eigene Funktion mysql_(real_)escape_string(). Die sollte
auch benutzt werden. Dafür muss aber vorher der Basisschutz wieder entfernt werden --> stripslashes().

Wert wenn man die Daten später wieder ausgibt, muiss man entscheiden, welche Codierung gewählt werden soll.

Bei Ausgabe in einer Textarea reicht htmlentities(wert)
Bei Ausgabe in einem einfachen HTML-Bereich benutzt Du besser nl2br(htmlentities(wert))
  Dabei gehen dann Leerzeichen inn der Ansicht verloren.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom