Hallo,

bin gerade an einem Punkt, wo ein bereits registrierter User seine Daten (Passwort, Email usw.) ändern kann. Dort schreibe ich in die DB schon mit "mysql_real_escape_string".

Skriptausschnitt:

...
$passwort = "' OR '%><";
$aendern = mysql_query ("update test set passwort = '" . mysql_real_escape_string($passwort) . "' where nick ='Thorsten'");
...

In der DB steht: ' OR '%><
Ist das richtig so? Da soll doch etwas maskiert werden?

Gruss
Thorsten