Ich dachte eigentlich, genau das verhindere ich mit meinem 'htmlspecialchars'. Naja, jedenfalls komme ich mit diesem 'mysql_real_escape_string' überhaupt nicht klar. Wo ist denn der Unterschied zu meinem Befehl? Kann/muß ich beide kombinieren?

Also, ich habs hinbekommen :-) Man muß wohl unterscheiden zwischen den Anweisungen, die die Darstellung im Browser betreffen und denen die die Datenbank direkt betreffem.

Ich hoffe bloß, daß mein

'".mysql_real_escape_string($_POST['artikel'])."', auch wirklich das macht, was es soll. Kann man das irgendwie überprüfen? So ganz trau ich dem Frieden noch nicht :-)