Sup!

SQL-Injektion geht immer dann, wenn ein Parameter ungefiltert in eine SQL-Abfrage eingebaut wird, so wie

$sql = .$_POST['Benutzer'].

hier.

Deshalb habe ich hier  mysql_real_escape_string($_POST['Benutzer']) genommen. Aber die Funktion ist mir trotz nachlesen nicht wirklich klar. Ich mache damit einen String aus dem Wert in $_POST['Benutzer']?

Du maskierst damit wahrscheinlich alle Zeichen, die die Datenbank als Bestandteil einer SQL-Abfrage missverstehen könnte.
Aber ich kenne die Funktion auch nicht und kann es darum nicht sicher sagen. Muss doch im Handbuch stehen...

Gruesse,

Bio