Moin!

Hallo, Danke für die Info, hab mal probiert.
Mit addslashes($str)

addslashes ist nicht für die Verwendung mit Postgresql vorgesehen, weil es vermutlich nicht alle zu escapenden Zeichen kennt.

Wie greifst du auf Postgres zu? Was spricht dagegen, die Postgres-Seite in der PHP-Doku aufzurufen und mal nach "escape" zu suchen? Strg-F, "escape" eintippen, Fundstelle sichten, fertig.

wird jedes Anführungszeichen maskiert und ich kann das ganze in die Datenbank eintragen. Aber ich möchte die Zeichen nicht in der Datenbank haben, wie kann ich das bewerkstelligen?

Du hast noch keine große Erfahrung, was Escaping und Datenbanken angeht.

Cross-Site-Scripting ist kein wichtiges Thema, da die Anwendung nur im Intranet läuft

Gerade dort ist es wichtig, weil durch den Vertrauensbonus ein Innentäter ein viel weitreichenderes Schadpotential hat.

Außerdem: Was ist das denn für eine Argumentation? "Die Website muß nicht sicher sein, die ist nur für intern." JEDE Website muß sicher sein, und es ist absolut unsinnig, diese obligatorischen Mechanismen immer extra wegzulassen - dann vergißt man es nämlich gerne dort, wo es zwingend notwendig wäre.

- Sven Rautenberg