Hell-O!

Verdächtig. Unabhängig von "mysql_real_escape_string()" solltest Du selbst die Kontrolle darüber haben, welche Parameter es geben darf und welche Werte diese annehmen dürfen.
Nein, mysql_real_escape_string() ist schon die richtige Funktion für MySQL-Querys.

Das hat Rolf ja auch nicht bestritten, ihm ging es eher darum, dass im Script vor einer Verarbeitung der Daten geprüft werden sollte, welche Parameter übermittelt wurden, ob sie zulässig sind und ob sie einen gültigen Wert enthalten. Und dabei hilft mysql_real_escape_string kein Stück weiter.

Siechfred