Tach!

warum benutzt Du addslashes anstelle der korrekten db-abhängigen escape-Methode (mysql_real_escape bzw. deren Nachfolger für mysqli ...)?

Ganz so schlimm ist es auch wieder nicht, solange es richtig angewendet wird. mysql(i)_real_escape_string() behandelt die für das Statement wichtigen Zeichen in derselben Weise wie addslashes(). Es maskiert lediglich noch ein paar weitere Zeichen, die erst später in Logfiles, aber nicht mehr für die Query eine Rolle spielen. Dass die mysql-Funktionen außerdem noch die Zeichenkodierung berücksichtigen, hat keine Auswirkungen auf ASCII-basierte Kodierungen wie ISO-8859-1 und UTF-8. Die kritischen Zeichen sind alle im ASCII-Bereich und außerhalb kommen keine Bytefolgen vor, die damit verwechselt werden könnten.

dedlfix.