Hallo Leute,
könntet Ihr mir sagen ob dieser Abschnitt sicher vor SQL Injections ist?
In der Abfrage bin ich mir nicht sicher.
$sql = mysql_query("SELECT Benutzer, Passwort FROM Mitglieder WHERE Benutzer = '".$_POST['Benutzer']."'") or Fehler_4(&$Fehler_4);
Deshalb habe ich hier  mysql_real_escape_string($_POST['Benutzer']) genommen. Aber die Funktion ist mir trotz nachlesen nicht wirklich klar. Ich mache damit einen String aus dem Wert in $_POST['Benutzer']?

Tausend Dank.

Patti