Hallo Længlich,

ich muß da jetzt noch ein paar mal nachfregen, weil ich möchte das unbedingt richtig verstehen.

Du verwendest entweder mysql oder mysqli (letzteres ist das neuere), und davon dann alle benötigten Funktionen. Ich habe noch nie versucht, sie zu mischen, aber es ist vermutlich keine gute Idee.

Nein nein, soweit ist mir das schon klar, auch der Unterschied.

Wenn ich _nicht_ mit Prepared Statements arbeite, dann muß ich Sonderzeichen escapen, weil es sonst zu erfolgreichen SQL Injections kommen kann. Dann würde ich also die Funktion mysqli.real-escape-string verwenden. Somit würde zB. der aus einem Formular kommende Name O'Rien als O'Rien in der Datenbank landen. Dann müßte ich allerdings vor der Ausgabe mit der Funktion stripslashes die \ entfernen. Und diese Hin- und Her- Prozedur spare ich mir bei der Verwendung von Prepared Statements. Stimmt das soweit?

MfG

Michael