Hallo,

Alle Variablen vom User (post, get etc.) werden vorher per addslashes();
maskiert.

Damit fällst du bei PostGreSQL oder DB2 oder [… setze DB-System ein …] auf
die Schnauze. Benutze die entsprechenden Escaping-Funktionen der DB-API,
z. B. mysql_real_escape_string() oder pg_escape_string().

Danke für den Hinweis, allerdings ist es nur für MySQL gedacht.

Und wie gesagt, die Test mit den nicht maskierten Zeichen von addslashes(); brachten keine Probleme zum Vorschein.

Sonst nennt dochmal bitte ein Query, wo addslashes() "versagen" würde, aber mysql_escape_string(); diesen korekt maskieren würde.

Aber ich denke mal für die nächsten Versionen darüber nach.

Grüße
Andavos