entweder durch die funktion mysql_real_escape_string sofenr es sich um eine mysql db handelt, das macht aber das vms sowieso schon wenn du db_query anstatt mysql_query benutzt.
Nicht korrekt, die Funktion db_query() bietet die Möglichkeit Variablen abzusichern dafür muss man sie aber richtig anwenden.

Die Funktion wird z.B. so genutzt:

PHP-Code:
db_query('SELECT status FROM %s WHERE `%s`=%d','vms_kontodaten','uid',184974);