mysql_real_escape_string verdient Ihre Aufmerksamkeit.
Direkte Abfragen sind jedoch ein Sumpf und gelten nicht mehr als sichere Praxis. Sie sollten sich über vorbereitete PDO-Anweisungen informieren und Bindungsparameter, die den Nebennutzen von Anführungszeichen, Escaping usw. eingebaut haben.
