Hello,

ich speichere unmittelbar den vom $_POST übergebenen wert in die tabelle.

Oh. Du willst irgendwann ein Sicherheitsupdate ankündigen?

ne ;) es ist ja nur dem admin erlaubt, eine gallery zu erstellen ..

Es ist aber nicht teuer, hier die beiden Regeln einzuhalten, die durchgängig immer wieder auftreten:

Wenn das Script aus einem Rechner mit "magic_quotes_gpc = on" läuft, dann erstmal die von PHP eingefügten Maskierungen wieder entfernen. Man stellt das fest, indem man get_magic_quotes_gpc() abfragt http://de2.php.net/manual/de/function.get-magic-quotes-gpc.php

Die Entfernung der Maskierungen macht man dann am besten mit einer rekursiven Funktion. Such mal im Archiv nach "category:PHP function strip("

Und da Du MySQL benutzt, solltest Du dann dringend die Funktion

mysql_real_escape_string($string,$connection)
  http://de2.php.net/manual/de/function.mysql-real-escape-string.php

benutzen, da die alle für die Schnittstelle kritischen Zeichen maskiert. Das sind mehr, als sie addslashes() von PHP berücksichtigen würde.

Die Magic Quotes auszuschalten würde bedeuten, dass Du in Zukunft _immer_ selber daran denkst, zu prüfen und zu maskieren. Das betrifft nicht nur die Datenbanken, sondern auch Formmailer, Arbeit mit Dateien usw. Die Funktion schützt zwar leider auch nicht immer, aber wenigstens manchmal :-)

Harzliche Grüße vom Berg
http://www.annerschbarrich.de

Tom

--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau