morgen,
man hat prinzipiell 2 probleme mit user-daten:
1. beim speichern, vor allem in eine db
2. bei der ausgabe
das sicherste wäre, alle hereinkommenden daten gegen eine whitelist zu validieren. alternativ können potentiell schädliche zeichen wie single / double quote, semikolon, backslash, backtick und spitze klammern bei der eingabe nicht zugelassen werden (black list). dies ist eine robuste - da einfache - möglichkeit, eine app grundlegend abzusichern.
ansonsten wäre zu nennen:
zu 1.
mysql_real_escape_string( )
zu 2.
htmlentities( )
weiterführende literatur:
Serverfrieden - PHP-Anwendungen individuell absichern
Gesundes Misstrauen - Sicherheit von Webanwendungen
cms-sicherheit.de
Formulare und die Sicherheit von interaktiven Web-Anwendungen
cx