Hello Malcolm E. Beck's,

[...]

WHERE
    anderesfeld = 'O'Brien'
[/code]
Kannst Du in dieser Anweisung ein Problem ausmachen?

Ja, das O', htmlentities wäre wohl auch falsch. Ich muss mich da später nochmal reinlesen, ich ging die ganze zeit von htmlspecialchars() aus.

Nicht das O' ist das problem, sondern das Binnen-Häkchen, also das Häkchen mitten im Nutztext. Das muss passend zur Schnittstelle maskiert werden, da es sonst den kombinierten Befehls-Daten-String zersört. Die Text-Schnittstelle des SQL-Interface kann nicht erkennen, ob es sich um ein Steuerzeichen  oder um einen Datenbestandteil handelt. Das musst Du ihr sagen.

Mehr Geheimnis steckt eigentlich auch nicht hinter SQL-Injection. Dort wird die "Verwirrung der Schnittstelle" gezielt eingesezt, um über Datenwerte Befehlssequenzen einzuschmuggeln.

http://de.wikipedia.org/wiki/SQL-Injection

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg