Tach!

Findest du es für Benutzer sonnvoll, bei einem Datenbankfehler die Arbeit sang- und klanglos einzustellen?
Ja, weil sonst eh nix läuft. Ob ich nun eine Fehlermeldung ausspucke oder einfach nix kommt. Wenn nix kommt, wird der Nutzer eher F5 drücken.

Mach das nicht mit zahlenden Kunden.

Ich werde das anpassen und hier eine kleine rote Meldung basteln. Obwohl ich keine zahlenden Kunden habe. Wäre auch höchst bedenklich bei diesen Einsteigerfragen^^

Es hat sich nicht bewährt, nicht mit Rohdaten zu arbeiten, solange es geht, und erst dann die jeweils konkreten Anpassungen für das konkrete Ziel vorzunehmen. Du siehst das ja bereits an deinem Fall, dass es zu Problemen führt.

OK, werde htmlspecialchars() nur noch dort verwenden, wo die Variable direkt per echo ausgegeben wird

Ich werde mich mal in diese prepared Statements weiter einlesen. bisher habe ich den Aufbau noch nicht so ganz verstanden. Wenn ich es schaffe die Dinger zu verwenden, ist eine Verwendung von mysqli_real_escape_string() weiterhin sinnvoll oder ist das durch die prepared Statements dann überflüssig?