Hallo Linuchs,

Für jeden Namen schaue ich, ob isset( $_POST.. ) vorliegt und das Feld in meinem Quarantäne-Array ist.

Okay. Damit stellst Du sicher, dass nur valide Namen ankommen und Dir niemand einen Spaltennamen unterjubelt, der das Statement kapert.

Doch die Werte gehen mit addslashes in die Datenbank

addslashes ist dafür nicht vorgesehen, das PHP Handbuch rät davon ab. Die Begründung wird nicht genannt, aber ich würde annehmen, dass es je nach Datenbank noch weitere Zeichen gibt, die maskiert werden müssen, und addslashes dann nicht reicht. Halte Dich an das Handbuch: Nimm mysqli_real_escape_string. Bzw. die escape_string Methode auf dem mysqli-Objekt. Bzw. die quote Methode auf dem PDO Objekt.

Rolf