Moin

//Anmeldung
function login_ok($benutzer, $pw) {
  $sql = "SELECT
            COUNT(*) as Anzahl
          FROM
            login
          WHERE
            benutzer = '".$benutzer."' AND
            pw = MD5('".$pw."') AND ..........

Die Abfrage muss ebenfalls in die Funktion mysql_real_escape_string gepackt werden, da ja Sonderzeichen im PW auftauchen können und diese natürlich von der Funktion beim speichern escaped wurden.

Also sollte funktionieren:

//Anmeldung
function login_ok($benutzer, $pw) {
  $sql = "SELECT
            COUNT(*) as Anzahl
          FROM
            login
          WHERE
            benutzer = '".mysql_real_escape_string($benutzer)."' AND
            pw = MD5('".mysql_real_escape_string($pw)."') AND ..........

Als Hinweis noch. Man muß auch bei einer Abfrage jeden String escapen, da auch bei der Abfrage MySQL-Injection mittels eingegebenen String im Formular geschehen kann. Stichwort: UNION

Gruß Bobby