Hallo liebes Forum

Ich habe gerade ein Formular getestet, indem ich die Hacker-Zeile
<script>alert('CSS Vulnerable')</script>
als Eingabe eines böswilligen Users in einen input der Form
<INPUT TYPE="text" NAME="var">
eingegeben habe.

Das Formular wird mit einen PHP-Script abgearbeitet, welches den input wie folgt übernimmt:
$var= htmlentities(trim($_POST["var"]));

Wieso kann dieser Code trotzdem meine Seite zerschießen???

var hat doch jetzt den Wert
<script>alert('CSS Vulnerable')</script>
oder etwa nicht?

Anschließend an den Alert bekomme ich die Fehlermeldung:
Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in ...

Die Datenbank müsste doch auch nur o.a. Textstring abkriegen - wieso kann sie dann so reagieren?

Geschockt und ratlos

*Alex*

PS: Bei meiner eigenen Suche bin ich auf englischsprachige Seiten gestoßen, welche das Problem scheinbar behandeln - leider ist Englisch nicht so meine Sprache...