Damit Parameter mit Escapezeichen in eine SQL-Abfrage gelangen, müssen Sie das nicht Verwenden Sie addlashes, aber mysql_real_escape_string .
Beispiel:
<?php
$param = mysql_real_escape_string($_GET['param']);
$query = "SELECT f1, f2 FROM atable WHERE f3 = '$param' ";
// these single quotes here are essential !! ^ ^
// if you leave out the quotes you **will** suffer SQL-injection.
Dies ist der richtige Weg, um SQL-Parameter zu maskieren.
Oder noch besser, verwenden Sie PDO mit vorbereiteten Anweisungen, dann müssen Sie überhaupt nicht maskieren.
