Hi!
Ich hatte das Beispiel Benutzername. Wenn ich weitere Fehlfunktionen ausschließen will (Prämisse: nur [a-zA-Z]), muß ich die Eingaben sowieso überprüfen. Warum dann noch escapen?
Niemand zwingt dich, die Funktion mysql_real_escape_string() aufzurufen. Tu es oder laß es. Das liegt ganz bei dir.
Der Aufruf dieser Funktion ist ja kein Zwang.
Wenn du sicher programmieren willst, dann solltest du nur sicherstellen, daß ein Angriff per SQL-Injection nicht möglich ist.
Wie du das tust, ist deine Sache.
Schöner Gruß,
rob