AW: [php] Problem mit Suchen nach extaktem Namen [NOTE]

[Marco Zingelmann]

Hi

>$query = 'SELECT * FROM '.$entries.' WHERE cat LIKE BINARY
>"%'.mysql_escape_string($_GET['cat']).'%" ORDER BY id DESC';
>(mit ' um das cat)

Warum mysql_escape_string, dafür gibt es doch magic_quotes_gpc oder
liege ich da jetzt falsch. Ich bin momentan am überlegen, da ich in
vielen PHP Skripten direkt bei z.B. Suchen $_REQUEST["Suchwort"] in den
Query-String eingebaut habe. Wenn ich nach "'; DROP ALL" suche, dann
passiert aber nichts mit meiner Datenbank.
Wie handle ich nun soetwas korrekt und sicher?

Gruß
 Marco