Hi!

Teilweise werden Benutzereingaben die über $_POST oder $_GET kommen, direkt in die mysql Anweisung geschrieben.
Du könntest prepare und bindParam von PDO verwenden.

Oder die Prepares Statements der mysqli-Extension. PDO lässt sich zwar in einigen Punkten angenehmer bedienen, mysqli ist aber "näher am Geschehen".

Damit brauchst Du Deine Daten nicht mehr zu maskieren und verhinderst gleichzeitig, dass Teile deiner Daten als SQL interpretiert werden.

Zumindest nicht mehr für SQL, die anderen Ausgabemedien müssen natürlich weiterhin berücksichtigt werden.

@Andi: Wenn du schon dabei bist, deine Werke zu überarbeiten, schau gleich mit nach dem Thema Zeichenkodierung, damit das nicht auch dem Zufall überlassen ist.

Lo!