Auch wenn es nicht die Ursache für dein Problem ist, ein Nachtrag.:

Ich führe keinen Code aus der Datenbank per eval oder ähnlichem aus und in die Datenbank kann eigentlich auch kein schädlicher Code gelangen, weil ich immer real_escape_string verwende.

Wenn Du nichts aus der Datenbank ausführst, dann ist es das, was dich vor den Auswirkungen von schädlichem Code in der DB schütz. real_escape_string schützt nicht davor schädlichen Code in die DB zu bekommen (der dort keinen Schaden anrichten kann), es schützt nur deine DB vor Angriffen auf die DB (ausspähen, löschen, ...).

Wenn Du gespeicherten Code wieder aus der DB ausliest, dann ist er so wie er reingekommen ist. real_escape_string soll daran auch nichts ändern, im Gegenteil, es soll genau das (und nicht mehr) gefahrlos machen und somit ermöglichen.