Ich hab eine Frage undzwar, ob das möglich ist:
function mysql_equery($string){
$nstr = mysql_real_escape_string($string);
return mysql_query($nstr);
}
oder funktioniert das nicht? Ich hab ehrlich gesagt nämlich nicht immer lust, alles zu escapen 
Dürfte nicht funktionieren weil du damit deine eigene SQL-Commands ungültig machst 
Musst übrigens nur Spielereingaben Escapen.
Dürfte nicht funktionieren weil du damit deine eigene SQL-Commands ungültig machst
Musst übrigens nur Spielereingaben Escapen.
Vielen Dank für die schnelle Antwort, ich wusste nicht, dass ich meine eigenen SQL-Commands damit ungültig mache, weil ich dabei irgendwie nicht ganz mitgedacht habe, dass wenn ich den kompletten SQL-Befehl escape, keine MySQL Handlung mehr folgen kann, da MySQL nichtmal mehr weiß, dass das an MySQL gerichtet war 
mysql_real_escape_string sowie mysql_escape_string makieren die Werte in der SQL Syntaxe. Das hilft leider nicht wenn man seine
Plattform wirklich schützen möchte.
Ich nutze daher PDO, empfehlens wert sind PDO oder MySQLi 
Naja msql_real_escape_string ist leicht zu verwenden
<?php
[..]
$username = mysql_real_escape_string($_POST['username']);
$select = "SELECT * FROM profile WHERE username='$username'";
$result = mysql_query($select);
[...]
?>zum Beispiel
Zumal auch die mysql_* funktionen deprecated sind
