So lange du den String nicht maskierst, bevor du ihn in die Datenbank einträgst, kann zumindest jeder in deiner Datenbank Daten verändern.

Ich dachte eigentlich, genau das verhindere ich mit meinem 'htmlspecialchars'. Naja, jedenfalls komme ich mit diesem 'mysql_real_escape_string' überhaupt nicht klar. Wo ist denn der Unterschied zu meinem Befehl? Kann/muß ich beide kombinieren? Bei mir passiert beim Einsatz von mysql_real.... nämlich überhaupt nichts. So wird z.B. ein <p>-Eintrag wieder als HTML-Befehl interpretiert. Bin total verwirrt :-((