Hi!

Und btw., addslashes hat an der Stelle absolut überhaupt rein gar nichts verloren.
Der Kontextwechsel Daten -> MySQL-Query wird durch mysql_real_escape_string behandelt.

Schon der Konsistenz wegen (es ist eine von der MySQL-API bereitgestellte Hilfsfunktion, die für Funktionen der MySQL-API verwendet werden soll) sollte man mysql_real_escape_string() den Vorzug geben. Technisch gesehen ist der Unterschied zwischen mysql_real_escape_string() und addslashes() im Grunde genommen jedoch nur kosmetischer Natur ((Strictly speaking, ...). Die zusätzlich von mysql_real_escape_string() behandelten Zeichen haben keine Auswirkungen auf die Sicherheit von (My)SQL-Statements. Auch dass addslashes() die Kodierung der Verbindung zwischen PHP und MySQL nicht beachtet ist für die hierzulande üblichen Kodierungen ISO-8859-x und UTF-8 nicht von sicherheitstechnischem Belang. Alle kritischen Zeichen haben eineindeutige Bytewerte.

Lo!