Hallo Martin,

Mein momentaner Infostand: bei Benutzung von mysql_real_escape_string() ist eine mysql-injection praktisch ausgeschlossen?

wenn man es richtig[tm] und kosequent anwendet - vermutlich ja.

Heisst also: immer(!) beim Schreiben in die DB und(!) beim Lesen aus der DB?
Hast Du, oder sonst noch jemand, noch irgend einen Tip dazu?

Was alles andere betrifft, herrscht erstmal Klarheit, sodass ich jetzt weitermachen kann.

Dank und Gruss
Thorsten