Übrigens, neben dem Aspekt "Sicherheit" ist das escapen der an die Datenbank gesendeten Werte auch im Hinblick auf "Funktionalität" interessant. Soll heißen, sollte ein User doch tatsächlich auf die Idee kommen, etwas ein Anführungszeichen in seinem Namen zu verwenden, funktioniert das schonmal nicht