In der PHP-Hilfe steht drin, dass man für die beschriebenen Fälle auch mysql_real_escape_string() verwenden soll. Dadurch werden alle SQL-Injections abgewehrt, solange du um deinen Escaped-String noch Anführungszeichen machst. Das sollte alles sein -> kein Validator, kein Parser, kein Gar nichts. Nur die Parameter darfst du trotzdem noch prüfen.

Bernhard