echo $begrueszung;

Man muß wohl unterscheiden zwischen den Anweisungen, die die Darstellung im Browser betreffen und denen die die Datenbank direkt betreffem.

Ja, genau so ist es am besten. Und allgemein gesagt gilt: Eingaben bei der Eingabe demaskieren, intern mit Rohdaten arbeiten, zur jeweiligen Ausgabe hin entsprechend maskieren.

Ich hoffe bloß, daß mein

'".mysql_real_escape_string($_POST['artikel'])."', auch wirklich das macht, was es soll. Kann man das irgendwie überprüfen? So ganz trau ich dem Frieden noch nicht :-)

Natürlich, lass dir den SQL-Befehl doch ganz einfach mal anzeigen. Vergiss dabei aber nicht die Ausgabe zum HTML hin zu maskieren, oder schau dir das Original in der Quelltext-Ansicht an.

echo "$verabschiedung $name";