Get Escapen und SQL Injunction verhindern?

[Termos]

Hallo Community,

wie Escape ich meine $_GET richtig um eingaben in der URL abzufangen?

momentan hab ich es mit

$StringArg1=mysql_real_escape_string($_GET["suche"]);
$StringArg2=mysql_real_escape_string($_GET["kriterium"]);

$StringArg4=mysql_real_escape_string($_GET["jahrvon"]);
$StringArg5=mysql_real_escape_string($_GET["jahrbis"]);

versucht. Das verhindert aber nicht das ich in der URL beispielsweise einfach ein Echo ausführen kann.

 

[sheel]

Hi

Eine SQL-Injection (nicht Injunction) ist ja auch nicht dazu da, echo (alert?) zu filtern.
Was du willst ist XSS verhindern.