re Onkel

Aber jetzt frage ich mich, ob es wirklich so gut ist, die slashes schon vor dem Eintrag in die Datenbank zu entfernen. Haben die magic_quotes nicht auch die Aufgabe, die Datenbank zu schützen?

Ja, dafür waren sie jedenfalls gedacht. Das tun sie aber nur halbherzig [1], und manchmal richten sie mehr Unsinn an, als sie nützen. Die Eingabedaten werden ja oft nicht nur in einer DB versenkt, sondern auch mal zur Kontrolle "auf dem Bildschirm" ausgegeben, und da gehören die Slashes nicht hin.

Mit dem Thema und dem Für und Wider beschäftigt sich auch das PHP-Handbuch in einem eigenen Kapitel. Mittlerweile wird auch empfohlen, diese Funktionalität auszuschalten.

dedlfix

[1] Es muss ja nicht für jede Datensenke gelten, dass bestimmte Zeichen mit Backslash zu maskieren sind. Teilweise gibt's da ja auch bessere Verfahren (z.B. mysql_real_escape_string())