Hello,

Wenn [die Daten] von außen kommen, dann müssen sie noch speziell vorbehandelt werden; manchmal aber auch, wenn sie aus dem Programm selbst kommen :-)

Es ist vollkommen egal, wo die Daten herkommen. Es interessiert nur, wo sie hingehen und dass die dortigen Syntaxregeln eingehalten werden. Es heißt ja oftmals: "Prüfe deine Eingabedaten." Das ist jedoch aus sicherheitstechnischer Sicht nebensächlich. Es ist wichtiger die Ausgabedaten richtig zu behandeln. Ich wäre sehr dafür, die Argumentation in "Behandele deine Ausgabedaten" zu ändern.

Mehr Ja als Nein :-)

Du hast natürlich Recht: unbekannte Daten müssen immer behandelt werden, bevor sie an die SQL-Text-Schnittstelle übergeben werden. Nur, wenn ich ganz genau weiß, dass die Daten der Konvention dieser Schnittstelle bereits entsprechen, muss ich sie nicht mehr durch eine Escapefunktion jagen, die schließlich Leistung kostet.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg