Hallo

1. Absatz:

• Warum benutzt Du htmlspecialchars()? Du gibst doch nichts in den HTML-Kontext aus, sondern erhältst etwas über diesen Weg

2. Absatz:

Ja, ich wusste es ist falsch, da ich aber auch nicht wusste, was richtig ist, habe ich es einfach hingeschrieben, in der Hoffnung, dass mich jemand korrigiert :)

3. Absatz:

• Warum unterlässt Du es, mysql_real_escape_string() zu verwenden oder bei einem anderen DBMS eben die entsprechende Funktion?

bitte den vorhergehenden Absatz nochmal lesen

Meinst du an dieser stelle?

WHERE meine_ta.Link = '".rawurldecode($_SERVER['REQUEST_URI'])."'

  
Nein! Nein!! Nein!!! NEIN!!! :|| (da capo al fine)  
  

> Was muss denn da nun rein?  
  
Bitte begib Dich zum dritten Absatz. Lies ihn! Finde heraus, welche Funktion  
dort erwähnt wird. Lies im PHP-Handbuch nach, wozu diese Funktion gut ist. Suche im Forumsarchiv (2008 sollte schon genügen, vielleicht nimm noch 2007 mit) nach Beiträgen, die sich mit PHP oder Datenbanken beschäftigen und die von Tom erwähnte Funktion enthalten. Du wirst viel Lesenswertes finden.  
  
Tipp: Entsorge den antiquierten mysql\_\*-Kram. Verwende stattdessen [mysqli](http://www.php.net/manual/de/book.mysqli.php) oder von mir aus einen DB-Abstraktionslayer. Aber doch kein mysql\_\* mehr, deren Zeiten sind inzwischen vorbei!.  
  
  
Freundliche Grüße  
  
Vinzenz