Hallo werbeklaus,

Ich habe die Funktion getestet und gemerkt, dass worte wie DELETE nicht "escaped" werden. Muss ich das danach auch noch prüfen?

Natürlich, woher soll PHP wissen dass du DELETE in deiner Query gar nicht haben willst obwohl du es reinschreibst...

Oder ist es nicht möglich, als User Einen SELECT Befehl durch eine Eingabe bösartig zu machen?

Nicht, wenn du alle Benutezreingaben ordentlich validierst.

Ist soas in der theorie möglich?

Auch in der Praxis.

Ein paar Links:
http://php.net/mysql-real-escape-string
12.11. Prüfe importierte Parameter. Traue niemandem
16.18. Wie kann ich bösartigen Code in SQL-Abfragen unterbinden?

Grüße
  David