Hallo,

Es geht ja nicht darum, welche Daten du im freundlichen Normalbetrieb erwarten kannst, sondern welche Daten dir in feindlicher Angriffsumgebung geschickt werden.

Richtig, und darum ging es mir auch nicht.
Ich hatte bereits erwähnt die Variablen vorher auf das ausschließliche  Vorkommen von Buchstaben und eventuell Leerzeichen zu überprüfen.
Wie man damit Injection betreiben kann, musst du mir erklären.
Wenn ich jetzt also eh nur noch Buchstaben "durch gelassen" habe,
was soll ich noch escapen?

htmlspecialchars() sorgt dafür, dass alle eingegebenen Zeichen auch exakt wieder so im Text der Seite auftauchen - und nicht als HTML-Tags fehlinterpretiert werden.

Mit Umlauten könnte man dabei aber Probleme bekommen.

Grüße, Matze