Tach!

addslashes( $row[ $col['Field'] ] ) . "'" )

Autsch. Das PHP Handbuch sagt

The addslashes() is sometimes incorrectly used to try to prevent SQL Injection.

"Sometimes". Im Falle von MySQL werden die unbedingt benötigten Zeichen behandelt. Die zusätzlich von den MySQL-Funktionen behandelten Zeichen sind für SQL-Injection nicht relevant.

Du sollst mysqli_real_escape_string (oder PDO::quote) verwenden.

Ja, für neue Projekte sollte man das aus Konsistenzgründen durchaus nehmen, aber alte Projekte müssen nicht aus Sicherheitsgründen umgeschrieben werden.

dedlfix.