Muss ich das noch irgendwie filtern damit er keine \ vor die " macht?

*argh* (das gilt jetzt nicht Dir sondern PHP) Es gibt eine Einstellung in der php.ini, die magic_quotes_gpc heißt. Diese Einstellung bewirkt, dass vor ", \ und ' automatisch \ gestellt wird, damit Variablen sicher in Datenbankabfragen verwendet werden können. Die Tatsache, dass die wenigsten Variablen auch in eine Datenbank kommen, ist anscheinend nicht berücksichtigt worden.

es ist m.e. vielmehr die tatsache berücksichtigt worden, dass viele DAUs einfach alles ungeprüft in ihre (my)sql-query reinschreiben, was vom browser übergeben wird, und danach jammern, wenn jemand ihre tabellen gedropped hat...