Du hast keinerlei Escaping in deinem Code! Viva la SQL-Injection!

Wie willst du mir in einem mit HTACCESS geschütztem Bereich, auf den man zusätzlich nur mit einer auf dem Server registrierten IP (bedeutet du musst eine feste IP haben, welche ich registrieren muss) in einem SELECT, welcher nur Daten aus der Session bzw. einem Array entgegennimmt, eine SQL-Injection verpassen?

Überall WO es notwendig ist arbeite ich mit mysql_real_escape_string.

Gruß Rainer