Hallo Bertha,

Wenn ich eine Usereingabe erwarte benutze ich mysql_real_escape_string bevor ich die Eingabe in die DB puste. Wie sieht es aus, wenn checkboxen oder Radiobuttons übergeben werden? Ist es notwendig auch diese Daten zu validieren bzw. zu prüfen? Was könnte mir schlimmstenfalls passieren, wenn ich diesen Daten blind vertraue? Wie könnte jemand sowas ausnutzen um Schaden anzurichten?

Kommt drauf an™. Wenn du die übergebenen Daten in der Datenbank speicherst, musst du sie escapen. Bei Checkboxen (nicht bei Radiobuttons) reicht es, wenn du überprüfst, ob der Wert existiert (bei einer angeklickten Checkbox wird name=on gesendet, bei nicht angeklickt nix). Bei Radiobuttons solltest du nur die möglichen Werte akzeptieren. Die sauberste Lösung dabei ist IMHO, in der Datenbank den Datentyp ENUM zu verwenden.

Grüße aus Freiburg,
Marian