Moin!

$result = mysql_query("SELECT nickname FROM Profile WHERE nickname = '$nickname'");

> >   
> > ich freue mich schon darauf, in das Formular folgenden Nickname einzugeben:  
> >   
> > foo'; DELETE FROM nickname; --  
>   
> Du nennst Deinen Nachwuchs doch garantiert [Bobby Tables](http://bobby-tables.com/), oder?  
  
Ich verstehe nicht, was diese Website gegen Escaping von Werten hat. Die Behauptung, Escaping wäre keine Lösung, ist jedenfalls falsch. Prepared Statements können zwar das Escaping von Daten umgehen, aber Daten sind nicht das einzige, was man dynamisch in ein SQL-Statement einbringen will.  
  
 - Sven Rautenberg