Hi,

danke fuer Deine Ausfuehrungen. Ich habe fast alles positiv aufgenommen, nur...

das Basteln von SQL-Statements hat u.a. den Nachteil, dass ausfuehrbarer Code vom Nutzer eingegeben werden koennte ('-- drop db...').

Wenn sowas möglich ist, hast du als Programmierer geschlampt. Solche Dinge passieren dann nicht, wenn alle Usereingaben ordentlich validiert und escaped werden.

Hier macht man m.E. einen Denkfehler ueblerer Art, wenn man Deiner Argumentation folgt. (Habe gerade diese oder eine aehnliche zu meinem Aerger immer wieder gehoert.) - Komplexitaet muss vermieden werden! Und wenn man Nutzereingaben nicht oder weniger filtern muss (Filtern ist komplex), dann ist das eindeutig zu praeferieren.

Gruss,
Lude

PS: Zu dem objektorientierten Ansatz beim Datenzugriff haette ich gerne noch etwas mehr info.