Hi dedlfix,

Im Allgemeinen stehen sie schon in $_GET/$_POST/usw. bereit.

Anders hab ich das auch nie gesehen.

Sie müssen nicht mehr übernommen werden.

Damit meinte ich einfach die Verwendung von $_GET bzw. $_POST.

* Schutz gegen SQL Injections mit der Funktion mysql_real_escape_string in Form von Beispiel 3 (Optimale Vorgehensweise zur Querybehandlung)
* Speichern der Daten

Das sollte man nicht in zwei Schritte aufteilen. Es empfiehlt sich, die notwendige kontextgerechte Behandlung von Daten genau dann vorzunehmen, wenn die Daten in den Kontext eingefügt werden. Das sollte integraler Bestandteil jeder Datenübergabe sein, und nicht ein Extra-Schritt, den man zusätzlich beachten muss, wenn man mal später was ergänzt.

Auch das hab ich nie anders gesehen. Aber wenn Du so einen Programmcode schreibst, in der beide Dinge passieren, dann kommt die Behandlung _vor_ der Speicherung, deshalb so hintereinander von mir aufgelistet.

* _Jetzt_ htmlspecialchars verwenden und dann
* Daten ausgeben

Selbe Problematik wie oben.

Meine selbe Antwort wie oben.

echo htmlspecialchars($x);

statt

$x = htmlspecialchars($x);
  echo $x;

Wie kommst Du eigentlich darauf, daß ich für diesen unnötigen Zwischenschritt bin? Wie Du bei einer einer Antworten an Malcolm siehst, verarbeite ich auch das _Get bzw. _POST _direkt_.

mfG

gooxsy