Wie wäre es denn, wenn Du die Abfrage änderst:

SELECT id FROM password WHERE nick = 'admin' and pass = '  z=M2Mzb40cM1'

Und dann fragen, ob

if(mysql_errno($con) == 0) and mysql_num_rows($con) == 1)
  {
    # Zugang gewähren, Usernummer merken
  }
  else
  {
    # Zugang verwehren
  }

Gut, ich könnte die Abfrage ändern, das is ne Idee. (Allerdings wenn dann mit SELECT COUNT(*), in dieser Tabelle haben die nutzer nämlich (noch) keine ID, hier sind einmalige Passwörter für den ersten Login gespeichert, der innerhalb von 1 Stunde nach Zusendung des Passworts erfolgen muss (Schutz gegen automatisierte Anmeldungen))

Das ändert aber nichts an meiner Frage: Was mache ich falsch oder was könnte schiefgelaufen sein? Ich habe nämlich x mal solche Konstrukte verwendet (leider aber bis jetzt nie getestet, ob das Escapen richtig funktioniert) und ich müsste jetzt sonst ca. 200 Skripte durchsuchen und jede Abfrage durch so einen umständlichen Workaround ersetzen.

Trotzdem danke