Hallo

ob Du VALUES mit Spalten- und Wertliste oder SET mit einzelnen Zuweisungen benutzt, hat keinen Einfluss auf die Sicherheit.

aber das mysql_real_escape_string($_POST['xyz']), ?

Ja, _das_ hat erheblichen Einfluss auf die Sicherheit.

Da ich nicht so viel in PHP erstelle, komme ich manchmal mit den verschiedenen Schreibweisen nicht klar.

eigentlich wollte ich mir die oben aufgeführte angewöhnen, doch leider lande ich sehr oft bei der althergebrachten.
wie hier
   mysql_query("insert into tab(f1,f2) values (
    '".mysql_real_escape_string($_POST['f1'])."',
    '".mysql_real_escape_string($code)."')");

Das ist ja auch die Notation, die man normalerweise in Büchern oder auf Websites bei den Beispielen und Tutorials findet. Die andere Notation (mit SET) finde ich mittererweile besser, da sie der gleichen Logik wie UPDATE folgt, man sich somit nur noch eine Syntax für den täglichen Gebrauch merken muss.

Tschö, Auge