Mahlzeit,

Mach ich was beim escapen falsch

Ja.

Du aber auch. htmlspecialchars ist die FALSCHE Escapefunktion!!!

Argl - war mit meinen Gedanken noch woanders. Richtig ist natürlich mysql_real_escape_string().

Korrekt ist mysql_real_escape_string(). Oder das entsprechende Äquivalent von mysqli.

Ja, hast recht. Ich sollte weniger multitasken - Männer können sowas ja nicht. :-)

Abgesehen davon ist es auch immer eine sehr gute Idee, wenn man sich durch explizites Aufführen der DB-Felder im Query vor Augen führt, welche Felder da tatsächlich benutzt werden. Das verhindert viele Bugs schon von vornherein, beispielsweise wenn die DB sich über einen falschen Datentyp beschwert, und man unabsichtlich irgendein altes Layout im Kopf hatte, dessen Feldreihenfolge schon lange nicht mehr stimmt.

Kam vielleicht nicht so rüber - aber ich sehe das genauso. Lieber EINMAL Mehrarbeit beim Programmieren (und anschließend läuft aber alles, wie es soll), als STÄNDIG Fehler beheben müssen (weil sich die Feldreihenfolge geändert hat, neue Felder dazugekommen sind o.ä.).

MfG,
EKKi