Hi!

1. Schau dir mal die Funktion mysql_real_escape_string() an. Die sollte man immer benutzen wenn man Daten in die Datenbank eingeben möchte die von den Benutzern stammen.

So generell gesagt ist das nicht richtig, denn sie ist nur für Strings vorgesehen. Bei Zahlen, die nicht in Anführungszeichen in ein SQL-Statement geschrieben werden, ist diese Funktion nicht nur überflüssig, sie wiegt den Anwender auch in falscher Sicherheit. Siehe Zahlen im (My)SQL-Statement.

Lo!