Bei der oben genannten HTML-Maskierung ist es ja noch einfach, da treten meist schnell Probleme auf, wenn man die Seite auf einem Unicode-Rechner anguckt. Bei SQL-Injection ist das schon etwas aufwändiger. Zumeist reicht es bei ID's und allgemein Zahlen ja brutal zu prüfen und abzubrechen, wenn es kein Zahlenwert ist. Bei Textfeldern muß man wirklich aufpassen und mehrmal kontrollieren. Da sind mit auch schon der eine oder andere Schusseligkeitsfehler unterlafen, den ich zum Glück rechtzeitig gefunden habe. Startrekkie