Hallo,

Auf das man es an einer Stelle vergisst... Jede Eingabe von einem Benutzer ist potentiell gefährlich

ja, aber doch immer nur gefährlich für einen bestimmten Anwendungsfall. Darum unterscheidet sich doch die Art und Weise, wie man diese Daten "entschärfen" muss, abhängig von der Anwendung.

Es ist zum Beispiel nutzlos, Gläser in Watte zu packen, wenn sie danach durch einen Hochofen geschoben werden sollen; da wäre eine hitzefeste Verpackung sinnvoller.

darum muss man das ja machen. Und warum dann nicht Zentral für alles was ankommt?

Ja, aber doch nicht einfach blind und pauschal nach den Regeln von SQL. Die Regeln, nach denen man Daten maskieren, codieren oder escapen muss, damit sie keinen Schaden anrichten, entscheiden sich doch immer danach, in welchen Kontext man diese Daten einbringt. Und auch erst an dieser Stelle.

So long,
 Martin