Hallo borisbaer,

P.S.: Soweit ich gelesen habe, ist es nicht nötig, filter_input zu verwenden, wenn man mit PDO arbeitet, oder?

Klingt nach frisch gepresstem Konfusel.

Du musst für jeden Kontextwechsel die richtigen Werkzeuge einsetzen. filter_input dient zum Prüfen, ob ein Eingabewert das richtige (fachliche) Format hat und kann auch ein paar unerwünschte Zeichen ausfiltern. Aber den Kontextwechsel von Input zu Datenbank machst Du durch mysqli::real_escape_string oder durch PDO::quote, wenn Du Daten ins SQL einsetzt, oder durch Einsatz von prepared statements.

Viel wichtiger ist es nachher, wenn Du die Daten wieder ausgibst, htmlspecialchars zu verwenden.

Das Self-Wiki hat zum Kontextwechsel einen Artikel mit zwei Teilen, hier. Der erste Teil ist abstrakter, der zweite Teil (am Ende des ersten verlinkt) geht mehr auf Technik ein.

Rolf