moin,

3.) GET-Parameter an einen SQL-Query werden mit mysql_real_escape_string() behandelt, um gegen SQL-Injections geschützt zu sein.

Verdächtig. Unabhängig von "mysql_real_escape_string()" solltest Du selbst die Kontrolle darüber haben, welche Parameter es geben darf und welche Werte diese annehmen dürfen.

Ich hatte diesbezüglich vor vielen Jahren, als PERL-Anfänger, einmal ein Sicherheitsproblem, das war zwar nicht weiter tragisch, aber lehrreich.

--roro