Hallo Andy,

Auf deine eigentliche Frage hast du ja schon eine Antwort, aber:

wenn ich einen String an meine MYSQL Datenbank übegeben maskiere ich diesen mit: mysql_escape_string ,

das ist zwar richtig gemeint aber schlecht umgesetzt. Die Funktion mysql_escape_string() ist bereits seit Version 5.3 als veraltet eingestuft und sollte durch mysql_real_escape_string() ersetzt werden. Seit PHP 5.5 ist allerdings die komplette mysql-Erweiterung als veraltet eingestuft worden und sollte entweder durch die mysqli oder PDO ersetzt werden.

Gruß,
Tobias