Moin!

Meinst du, dass es ausreicht, mysql_real_escape_string() oder ähnliches anzuwenden und gut ist? Oder meintest du, dass die Daten gleich für das irgendwann später mal verwendete Ausgabemedium aufbereitet in der Datenbank stehen sollen?

zweiteres.. nein. Ersteres schon eher. Wichtig ist dabei nur, die zu speichernden Daten so einfach wie möglich zu halten und ggf. mit Ids zu spicken, damit geregelt ist, wo es auftauchen soll.

Nein - deine Argumentation ist nicht nachvollziehbar und geht vollkommen in die falschr Richtung, würde ich meinen.

Nutzereingaben sollten nur als solche gespeichert werden, ohne HTML/PHP/JS/etc.-Klimbim drumherum oder mittendrin. Die Darstellung dessen wird dann mit PHP o.ä. zusammengesetzt und mit HTML angezeigt.

Nutzereingaben könnten Zeichen enthalten, die in HTML eine besondere Bedeutung haben.

Den Kontext zu wechseln sollte dann nicht mehr so schwer fallen.

Den Wechsel des Kontextes kann man sich nicht aussuchen, der ist einfach da aufgrund der Situation. Wenn man reinen Text in der Datenbank hat, und die Ausgabe in HTML erfolgen soll, wechselt der Kontext - Punkt. Man ist gezwungen, das zu berücksichtigen.

- Sven Rautenberg