Hallo, also man kann ja die HTML und PHP befehl aus den übergebenen Variablen herausfiltern so das die erst gar nicht in die Datenbank geschrieben werden. So mache ich das auch in meiner Highscore liste, für mein Spiel.

Wenn ich mal wieder Zeit habe dann werde ich da Tutorial mal etwas auffrischen.

Ansonsten kann ich dir noch OHS als Highscoreliste empfehlen, das kommt ganz ohne My SQL aus. Wie du das in Delphi verwendest, kannst du hier in meinem Open Source Spiel Twins Game 2008 sehen.