Moin,
danke für die Antwort,

Wie greifst du auf Postgres zu? Was spricht dagegen, die Postgres-Seite in der PHP-Doku aufzurufen und mal nach "escape" zu suchen? Strg-F, "escape" eintippen, Fundstelle sichten, fertig.

ich mach das jetzt mit pg_escape_string() und alles funzt super.

Gerade dort ist es wichtig, weil durch den Vertrauensbonus ein Innentäter ein viel weitreichenderes Schadpotential hat.

Außerdem: Was ist das denn für eine Argumentation? "Die Website muß nicht sicher sein, die ist nur für intern." JEDE Website muß sicher sein, und es ist absolut unsinnig, diese obligatorischen Mechanismen immer extra wegzulassen - dann vergißt man es nämlich gerne dort, wo es zwingend notwendig wäre.

Habe mir Deine Worte durch den Kopf gehen lassen, Du hast natürlich recht und ich gelobe Besserung und werde die Anwendung so sicher wie möglich machen ;-)
Gruß
Jo