Tach!

mysqlreal_escape oder eine sonstige falsche Schreibweise endet ja glücklicherweise mit einer aussagekräftigen Fehlermeldung.

Ja.

Die fehlenden Anführungszeichen sollten auch zu einem Fehler oder zumindest zu unerwartetem Verhalten führen: mysql_error ist mein Freund.

Njein. Nur wenn du beim SQL-Injection-Versuch einen Syntaxfehler einbaust. Solange du es ohne einen solchen schaffst, gibt es keinen Grund etwas zu beanstanden. Das ist zwar aus deiner Sicht als Autor eventuell als unerwartetes Verhalten einzustufen, aber das System kann das nicht erkennen.

Ich habe übrigens während der Entwicklung das Error-Reporting voll aufgedreht und lass mir bei Bedarf wichtige Variablen usw. ausgeben (etwa über include('kontrollausgaben')

Das ist gut und hilfreich, aber für 100% Fehlerfreiheit im Sinne der Aufgabenstellung reicht das noch lange nicht.

dedlfix.