Mahlzeit devian,

$deinschulforum = $db->query_first("SELECT * FROM testtabelle WHERE spalte1='$hallo' ");

Angenommen ich habe die Variable aus dem Formular bezogen, so wird diese ja über die URL mitübertragen. Dort kann also jeder Hans und Franz den Inhalt der Variable $hallo ändern und somit auch eine ungewollte Abfrage einleiten.
Schützt mich hier mysql_real_escape_string nicht auch?

Doch.

Nun lese ich ja werte aus der Datenbank aus. Aber so sollte es ja sicher sein, denke ich.

Wenn Du an o.g. Stelle auch mysql_real_escape_string() benutzt, dann ist der Wechsel von PHP- zu MySQL-Kontext an dieser Stelle sicher, das stimmt.

Aber was machst Du anschließend mit den aus der Datenbank ausgelesenen Werte? Du verarbeitest sie doch sicher in irgendeiner Form und gibst sie dann an den Browser aus - sprich: Du erzeugst HTML-Code. Hast Du dort auch den entsprechenden Kontextwechsel beachtet?

MfG,
EKKi