Tach!

wenn ich einen String an meine MYSQL Datenbank übegeben maskiere ich diesen mit: mysql_escape_string ,

Das ist zu pauschal und damit nicht in jedem Fall richtig. Maskieren muss man Werte, die in Strings in SQL-Statements eingefügt werden. Für Nicht-Strings sind andere Prüfungen/Maßnahmen notwendig. Und mit Prepared Statements ergibt sich gleich gar keine Notwendigkeit des Maskierens (mit Ausnahme von LIKE).

wie mache ich das, wenn ich einen String in eine Email einfügen möchte, die ich dann über den Server verschicke. So das der Inhalt des Strings nichts anstellen kann?

Das kommt darauf an, wo der String landen soll. Im Header geht das anders als im Body, und da ist es abhängig von der Art des Inhalts. Am besten ist es, wenn man all diese Feinheiten gar nicht beachten muss, wenn das Ziel lediglich das Wegschicken von Mails und nicht das Verständnis deren Aufbaus ist. Nimm lieber eine fertige Mailer-Klasse, wie zum Beispiel den Swift-Mailer.

Zum allgemeinen grundlegenden Verständnis sei noch der Kontextwechsel-Artikel empfohlen.

dedlfix.