$query = 'SELECT ID FROM hersteller WHERE Firmenname ='".mysql_real_escape_string($_POST['Hersteller']).";
mit dem ." nach mysql_real_escape_string hast du ein Offenes String-Literal das niemals geschlossen wird.
So würde es passen:
$query = "SELECT ID FROM hersteller WHERE Firmenname ='".mysql_real_escape_string($_POST['Hersteller'])."';";
Übersichtlicher wäre wohl:
$query = sprintf("SELECT ID FROM hersteller WHERE Firmenname = '%s';", mysql_real_escape_string($_POST['Hersteller']));
Und am besten wäre wohl die Verwendung von Prepared Statements. Warum? Du musst dich nicht selbst ums Maskieren kümmern und so wie es aussieht vermute ich mal, dass du noch die mysql- statt mysqli-/PDO-Extension verwendest (reine Spekulation).
MfG
bubble
--
If "god" had intended us to drink beer, he would have given us stomachs. - David Daye
If "god" had intended us to drink beer, he would have given us stomachs. - David Daye