Bis jetz erstell ich meine Querys immer so:
[PHP]
$qry =
„SELECT id FROM table WHERE name = '“.mysql_real_escape_string($_POST[‚usereingabe‘]).„'“;
[/PHP]
Wäre es auch so möglich?:
[PHP]
$qry = mysql_real_escape_string(
„SELECT id FROM table WHERE name = '“.$_POST[‚usereingabe‘].„'“);
[/PHP]
das ist ja auch nur zum schutz, was er meint. überleg’ mal, es kommen usernamen vor, die nicht richtig escaped sind…per eingabe könnte dann die komplette DB von dritten ausgelesen werden.