Hallo,

Da wären zum Beispiel die Fragen: Sollte ich auch die Tabellen- und Spaltennamen mit mysqli::real_escape_string(...) escapen

nein, auf keinen Fall. Die *_real_escape_string-Funktionen und Methoden sind für Zeichenkettenwerte in SQL-Statements da, nicht für Identifier. Für diese gelten andere Escape-Mechanismen. Es ist jedoch eine gute Idee, von Deinem Code alle Tabellen- und Spaltennamen quoten zu lassen, weil Du somit nie ein Problem mit reservierten Namen bekommen wirst - so wie es zum Beispiel phpMyAdmin macht.

Für den Test bzw. für Forumsbeiträge sehe ich es umgekehrt: Da quote ich nur, wenn es unbedingt sein muss. Das gilt besonders für MySQL, weil ich allergisch auf Backtickitis reagiere.

bzw. bringt mir das was?

Fehlermeldungen und eine nicht funktionierende Anwendung.

Freundliche Grüße

Vinzenz