Jetzt kommt aber der Spass....falls magic_quotes_gpc an ist, darf man nicht ohne weiteres mysql_real_escape_string drueberlaufen lassen. Nehmen wir an ein User gibt das ein:
dann kommt in $_GET folgendes an:
Falls ich dann nochmal mysql_real_escape_string() drueberlaufen lass, dann hab ich
oder
Und wie mans dreht und wendet, das sind auf alle Faelle zuviele \

Deshalb: auf alle Faelle erstmal stripslashes() drueberlaufen lassen, wenn magic_quotes_gpc an ist (don't you just love it?)

Greetz
alcaeus