Moin nochmal,

Nein, er lautet "bar'; INSERT INTO ...".[2]

Ahhh. Jetzt ja! Alles klar. Jetzt macht das ganze für mich Sinn. Manchmal sieht dann das Offensichtliche einfach nicht.

...  Verwende die vorliegende Funktion, dann ist die Maskierung auch so, wie sie sein muss (s. Vinzenz' Posting).

Danke. Das ist eine ganz entscheidende Information für mich. Dann werde ich also nicht erst anfangen jeden String mit einem Array an Blacklist-Einträgen zu überprüfen sondern mich auf "prepared statements" stürzen um der Lösung meines Problems näher zu kommen.

[2] Jetzt klarer? :-)

Glasklar.

... Allerdings ist das doch ein Nachteil, denn genau hierbei findet die Ausführung des eigentlichen Schadcodes statt.

Ok, ich werde mich jetzt erstmal um Maßnahmen kümmern, die es erschweren Schadcode überhaupt erst einmal einzuschleußen.
Wirklich sicher ist man sicherlich nie, aber ich habe erkannt, daß meine programmtechnische Herangehensweise wohl sehr naiv war, als ich die Seite zum Leben erweckte.
Ich betrachte diesen "Schuß vor den Bug" mal einfach als willkommene Gelegenheit wieder etwas dazu zu lernen. Und was gibt es Spannenderes, als neue Dinge zu lernen? Und wo ist man dafür besser aufgehoben als hier? :-)

Vielen Dank an alle Helfer!

MfG
MarkX.