[frostschutz]

Über den Code kann man sich streiten, aber zumindest ein $db->escape_string() solltest du dem input noch spendieren. Auch wenn man im Admin CP nicht davon ausgeht daß die Leute Mist eingeben. Und nein, die $db->*_query() Funktionen machen das leider nicht selbst, wie man das normalerweise erwarten würde...