Hello,

$username = mysql_escape_string($username);
   $password = mysql_escape_string($password);

*1) gilt für mysql_magic_quotes() === false;
      sonst vorher noch stripslashes() verwenden.

ich verstehe nicht was ich mit mysql_escape_string machen kann?
Ich habe zwar in die Manuel geschaut es aber nicht wirklich verstanden?

Man MUSS es benutzen, wnn die Werte von außen kommen. Sonst kann man über die Eingabefelder und die Abfrage ggf. Deine Datenbank korrumpieren. Das wird nur abgefangen dadurch, dass bei PHP meistens magic_quotes_gpc = on ist und PHP selber Backslashes hinzufügt, um die Datenbanken zu schützen.

Allerdings müssen bei MySQL mehr Zeichen escaped werden, als es addslashes() von PHP tut.

Man muss also meistens erst das addslashes() von PHP rückgängig machen mit stripslashes() um dann die MySQL-gerechte Maskierung mit mysql_escpae_string() oder mysql_real_escpae_string() durchzuführen.

Liebe Grüße aus http://www.braunschweig.de

Tom