Danke für deine Antwort.
Nun habe ich mein Datenmanagement nochmals überdacht und bin zu folgendem Entschluss gekommen:

• Daten vom User dürfen keine < > enthalten, da bei evtl. Ausgabe das Ganze unschön ausschaut auch bei Verwendung von htmlspecialchars()
• Daten vom User werden mittels htmlspecialchars() in die Datenbank geschrieben
• SQL Variablen ausschließlich mit mysql_real_escape_string()
• Bei der Ausgabe von Daten wird nochmals, auch wenn unnötig, htmlspecialchars() angewendet.

Grüße Steffen.

HI

Ich denke die umwandlung [code lang=php]$text = htmlspecialchars($text);[code] reicht...

sonst hätt ich ein sicherheitsproblem, das meine «Häcker» freunde sicher gefunden hätten ;-)

gruss nimble