Hallo Malcolm,

printf("%s Title %s\n", htmlspecialchars($myquery), $haupt_gruppe);
$haupt_gruppe wurde im Gegensatz zu $myquery nicht kontextgerecht behandelt.

$haupt_gruppe kommt direkt aus der DB, den Inhalt von $haupt_gruppe habe ich geschrieben, muss ich dass auch escapen?

ja.

Du hattest doch gelernt: Behandle immer kontextgerecht. Das ist viel einfacher und weniger fehleranfällig als ständig zu überlegen, ob man die kontextgerechte Behandlung in diesem gerade vorliegenden Spezialfall weglassen könnte.

Wie Du Datenbankobjekte von MySQL kontextgerecht behandelst, findest Du im Handbuchabschnitt Schema Object Names.

Freundliche Grüße

Vinzenz