Hi!

also ungefaehr so:

$sql = sprintf("INSERT INTO user (1, 2) VALUES",

mysql_real_escape_string($_SESSION['1']),
               mysql_real_escape_string($_SESSION['2']));

  
Fast. Am Ende muss ein vollständiges und korrektes SQL-Statement rauskommen. Der Vorteil von sprintf() ist, dass du das SQL-Statement übersichtlich in Gänze und in einem Stück notieren kannst, nur eben mit Platzhaltern für die Werte.  
  
$sql = sprintf("INSERT INTO user (feldname1, feldname2) VALUES ('%s', '%s')", ... der Rest wie oben.  
  
  
  
Lo!