Hallo Rolf,

Verdächtig. Unabhängig von "mysql_real_escape_string()" solltest Du selbst die Kontrolle darüber haben, welche Parameter es geben darf und welche Werte diese annehmen dürfen.

Nein, mysql_real_escape_string() ist schon die richtige Funktion für MySQL-Querys.

Gruß,

Johannes