Hi!
Beim _Schreiben_ in die Datenbank solltest du die Nutzereingaben so lassen, wie sie sind. (Aber dabei natürlich keine Injections zulassen.)
Man lässt die Nutzereingaben nur dann wie sie sind, gerade wenn man keine Injections zulässt - sie also so bearbeitet, dass sie vom empfangenden System intentionsgemäß interpretiert werden können (meine Intention, nicht die des bösen Buben).
Wolltest Du sagen, dass Benutzereingaben grundsätzlich in den vorgesehenen Zieltyp umgewandelt werden sollten und man meckert, wenn dies nicht funktioniert?
Wer ist "man" in dem Fall? Der Zieltyp wäre sozusagen "Stringliteral für SQL-Statments". Ein
Hallo 'Welt'!
(bei in '' eingefassten Strings) ist nur dann gemäß meiner Intention und aus Sicht des DBMS unverfälscht, wenn ich die Anführungszeichen um Welt maskiere. Ansonsten liest das DBMS nur Hallo und ein Leerzeichen, was nicht mehr der Benutzereingabe entspricht, also (unbeabsichtigt sicherlich) verändert wurde.
Erst bei der Übergabe an die nächste (Verarbeitungs-)Stufe (z.B. die Datenhaltung) müssen dann die berühmten Kontextwechsel beachtet werden...
Eben. Wenn Gunnar die Injections anspricht, meint er auch diesen Vorgang, nicht nur die vorherige Verarbeitung im Script.
Lo!