Hello,

danke für den link. ich habe es gelesen. aber wie ich aus den intval einen string mach steht auch nicht wirklich da.

Wenn Du einen numerischen Wert übergibst, dessen neutrales Element 0 ist, also nicht zum einzustellenden Wertebereich gehört, ist intval() Dein Freund. Alle Literale, die nicht in eine ganze Zahl umgebaut werden können, werden zu 0.

Ein weiteres Escaping und eine Quotierung ist dann für die Verwendung mit der Textschnittstelle der Datenbank nicht notwendig, bzw. sogar oft gar nicht zulässig.

Wenn Du allerdings einen Text übergibst, dann musst Du für die Verwendung in der Textschnittstelle der Datenbank (SQL) diesen String absichern, also mit der passenden Funktion escapen. Dafür stehen dann (für Texte) mysql_real_escape_string() oder mysqli_real_escape_string() zur Verfügung.

http://www.php.net/manual/en/function.mysql-real-escape-string.php
http://www.php.net/manual/en/mysqli.real-escape-string.php

Die escapten Texte müssen dann auch in '' eingeschlossen werden.

Liebe Grüße aus Syburg bei Dortmund

Tom vom Berg