Zitat Zitat von fanrpg
Also was in die DB geschrieben werden soll nicht $_POST sondern dann $kommentar verwenden
PHP-Code:
$_POST['kommentar']; // Böse SQL-Injektion
$kommentar $_POST['kommentar']; // Einfach andere Variable Verwenden
mysql_query($kommentar); // SQL-Injektion nicht mehr böse :) 
Ganz so einfach geht das nicht
Es ist viel wichtiger seine Strings entsprechend zu bearbeiten bevor sie in die Datenbank eingetragen werden, entweder in dem MagicQuotes im Server aktiviert sind, oder in dem man sie per Hand mit mysql_real_escape_string bearbeitet.