Hello,

sei froh, dass es magic_quotes_gpc gibt und bete, dass das bei Dir eingeschaltet ist. Du hast überhaupt kein escape für Deine Werte eingebaut.

also eigentlich die Universalmaskierung wieder entfernen

$wert = stipslashes($wert);

und dann mit der für MySQL passenden Maskierung versehen:

$wert = mysql_escape_string($wert);

Damit bleiben auch Zeilenumbrüche in Textfeldern ungefährlich und erhalten.

Liebe Grüße aus http://www.braunschweig.de

Tom