Hallo zusammen,

Hallo,

Teilweise werden Benutzereingaben die über $_POST oder $_GET kommen, direkt in die mysql Anweisung geschrieben.

Du könntest prepare und bindParam von PDO verwenden.
Damit brauchst Du Deine Daten nicht mehr zu maskieren und verhinderst gleichzeitig, dass Teile deiner Daten als SQL interpretiert werden.

MAD