Hi,

vielen Dank für Deine ausführliche Erläuterungen, die mir das Ganze tatsächlich etwas klarer gemacht haben.

$query = sprintf("SELECT * FROM tblbenutzer WHERE benutzer ='%s'", mysql_real_escape_string($uname));

So hatte ich das nach der ersten anregung auch geschrieben und mir dann das Beispiel von http://www.php.net/manual/de/function.mysql-real-escape-string.php genommen und angepaßt.

Außerdem fehlt bei dir komplett das Reagieren auf Fehlerzustände  ... Fehlerfall geordnet zu beenden, den Administrator geeignet zu benachrichtigen ...

Da hast Du recht. Ich vertraue auf meinen Provider, daß die DB durchgängig läuft.
Durch den Beispielcode sind noch mehrere Fehler abgefangen. Der Administrator wird übers Telefon benachrichtigt! wir sind noch ganz nah bei unseren 5 Anwendern.

Aber ich halte solche Informationen immer im Hinterkopf, denn auch diese Anwendung wird irgendwann komplexer und anonymer werden. Dann spätestens - vielleicht auch früher, wenn ich zum üben Zeit habe -  werde ich Deine Anregung beherzigen.

Danke für die ausführliche Antwort