»» a) nähme ich ein Prepared Statement.
Ja, das hab ich mir auch überlegt, aber dann dachte ich nee das geht auch ohne, wenn es wirklich darum geht werde ich eines benutzen aber zu Test zwecken will ich mir einbilden das ich es auch ohne hinbekommen habe.

b) wenn ich es wie Du schon zusammenbaute,
   nutzte ich für sprintf Anführungszeichen, die mir das Escapen
   von notwendigen Anführungszeichen ersparten:
   "INSERT INTO ... "

Werd ich in Zukunft denk ich auch anwenden.

c) der derzeit hinderliche Fehler ist jedoch das Komma in der Spaltenliste
   hinter Vorname:
   "INSERT INTO angaben (Vorname) VALUES ('%s')", ...

Ja wirklich ärgerlich das hätte ich auch selber sehen müssen...

d) Wenn man SQL-Statements dynamisch zusammenbaut, hilft die Ausgabe des
   erzeugten Statements mit anschließendem Copy-and-Paste in den DB-Client
   Deiner Wahl.

Auch ein guter tipp. :)

Freundliche Grüße

Vinzenz

Danke :=)