Kurzum:

• Werte casten. Einfach mit (int), (string), (whatever) $value den Wert auf nen Typ boxen.
• Bei Strings:
  • Zeilenumbrueche auf ein Standardformat bringen:
    markieren

    Code:

    $value = str_replace(array("\n\r", "\r"), "\n", $value);
  • Ggf. stripslashes() ausfuehren:
    markieren

    Code:

    $value = (get_magic_quotes_gpc()) ? stripslashes($value) : $value;
  • String trimmen:
    markieren

    Code:

    $value = trim($value);
  • HTML-Steuerzeichen entschaerfen:
    markieren

    Code:

    $value = htmlspecialchars($value);

Dann jeden String, der in ne SQL-Abfrage wandert mit mysql_real_escape_string() escapen, und fertig ist dein Schutz gegen Cross-Site-Scripting (XSS) und SQL-Injection

Greetz
alcaeus