Hallo bleicher,

d.h.

']) <bösescode>

würde nicht um die md5-Verarbeitung gehen gehen?

Nein, wieso?

Wenn dein Code

$bla=md5($_POST['dings'])

und dir jemand mit POST folgendes als Ding schickt: »']) <bösescode>«

Dann resultiert das in:

$bla=md5('\']) <bösescode>')
(bzw. etwas verständlicher, dafür aber nicht ganz so korrekt:)
$bla=md5("']) <bösescode>")

Selbst wenn das md5 nicht da wäre, oder jemand die wirkung des md5 umdrehen könnte, erstmal hast du die übergebenen Daten einfach nur in einer String-Variable, die primär sicherheitstechnisch völlig unbedenklich ist. Du musst halt nur aufpassen, wie du diese weiterverarbeitest. Das heißt, bedenklos ausgeben, in Dateien schreiben, Datenbankzugriffe damit ausführen usw. ist tabu.

Jonathan