Tach!

Vergiss das Escapen nicht!

wenn ich $mysqli->prepare nutze, wird das Escapen doch intern erledigt ohne dass ich mich selber darum kümmern muss?

Nein. Wenn du Prepared Statements verwendest, ist ein Escapen prinzipbedingt nicht notwendig, wenn man sie per Bind übergibt.

Du kannst zwar die Werte auch weiterhin ins Statement einbauen - und dann müssen sie wie üblich maskiert werden - oder gar ein gemischtes Statement erstellen, aber dann wäre der Vorteil weg.

Wenn du lediglich die Menge erhöhen und keine weiteren Werte ändern möchtest, dann kannst du die Formel spalte = spalte + 1 auch direkt notieren und musst nichts zusätzliches maskieren, was nicht schon vor dem Umbau des Statements maskiert war.

dedlfix.