Hallo,

Alle Variablen vom User (post, get etc.) werden vorher per addslashes(); maskiert.

Das ist nicht ganz der richtige Lösungs-Weg - mysql_escape_string() bzw. noch besser mysql_real_escape_string() wäre die richtige[tm] Lösung.

Wo ist denn genau der Unterschied zwischen mysql_escape_string(); und addslashes()?

Also addslashes():

Die behandelten Zeichen sind das einfache und der doppelte Anführungszeichen (' und "), der Backslash selbst () sowie NUL (das Null-Byte).

Also: ', ", , NULL

mysql_real_escape_string:

diese stellt den folgenden Zeichen einen Backslash voran: NULL, \x00, \n, \r, , ', " und \x1a.

Der Unterschied ist also minimal und irrelevant, und mir ist keine Attacke bekannt, die den Unterschied ausnutzen kann.
Desweiteren müsste ich zuerst das addslashes(); von magic_quotes_gpc entfernen.
Da es aber per default auf ON ist, wäre dies Performance intensiver also meine Variante.

MFG
Andavos