Bei folgendem Code kriege ich die Fehlermeldung "Warning: mysql_real_escape_string() expects parameter 2 to be resource, integer given in ...".

  
  if(isset($_POST['oldpw'])) { $oldpw = mysql_real_escape_string(htmlentities($_POST['oldpw']),ENT_QUOTES); } else { $oldpw = ''; }  
  if(isset($_POST['newpw'])) { $newpw = mysql_real_escape_string(htmlentities($_POST['newpw']),ENT_QUOTES); } else { $newpw = ''; }  
  if(isset($_POST['newpw2'])) { $newpw = mysql_real_escape_string(htmlentities($_POST['newpw2']),ENT_QUOTES); } else { $newpw2 = ''; }  

Und noch eine Frage - bin ich mit diesem Code (wenn er läuft) vor SQL-Injection und so geschützt?