Hi,

function InDatenbankSchreiben($string)
      {
      return mysql_real_escape_string($string);
      }

ist ok.

technisch ja, aber es ist nicht sinnvoll: Eine Funktion X aufrufen, die nichts weiter tut als ihrerseits Funktion Y aufzurufen? Da kann ich auch direkt Y aufrufen (hier: mysql_real_escape_string()), das ist einfacher und übersichtlicher.
Abgesehen davon, dass dein gewählter Funktionsname immer noch irreführend ist.

Anschliessend kann ich bei der Ausgabe mit

htmlspecialchars($string)

weiterarbeiten?

Genau. Und zwar da, wo du den String als HTML an den Browser ausgibst, nicht vorher.

Ciao,
 Martin