Hallo,

offensichtlich war es keine Lösung.

Naja, bis auf diese Ausnahme schon ...

Was geht nicht?

[x] Prepared Statements nutzen
[ ] Statement in der API zusammenbauen
[x] Stored Procedure nutzen, die Prepared Statements nutzt

Die Sache ist, dass ich in einem Backend einen Abfrageteil (AND ...) als Code eingebe, den ich dann in meiner Applikation wieder zusammenbaue. Das hat den Hintergrund, dass ich für verschiedene Kategorien kombinierte Suchabfragen zusammenstellen möchte. (Ohne konkret zu werden ist es wohl etwas unverständlich - sorry.) Ich gebe in einem Auswahlfeld z.B. "AND aufwand=1" ein. In der Applikation stückele ich dann zusammen "SELECT abc FROM xyz WHERE foo=faa AND aufwand=1". Meine Lösung besteht nun darin, dass ich einen Platzhalter im Eingabefeld verwende, z.B. *THISMONTH*. Beim Zusammenfügen ersetze ich dann *THISMONTH* durch 'xyz_'.$thismonth ...

Danke noch mal & Grüße,
luti