hi, ich habe eine wichtige sicherheitsfrage 
brauch ich auch wenn ich an ein php script eine ID sende, so wie bei GET[] ein mysql_espace_string() wenn ichs mit einem query ausführen lasse??
das textfeld in dem die id steht ist aber readonly und hidden
brauch ich da ein mysql_escape_string()??
Grundsätzlich sollte man das immer machen, denn selbt POST Daten, die an ein Script übergeben werden, können gefälscht oder verändert sein.
was ich dir empfehlen würde, ist, eine funktion für zahlen/id's zu schreiben, die prüft ob der wert eine zahl ist und evtl.l sonderzeichen rausfiltert..
so long
