Eventuell bietest Du dem Nutzer auch gleich ein Editieren der WHERE-Klausel an. Why not?

Das ist keine besonders clevere Idee. Solch eine Möglichkeit stellen Anfänger oftmals unbewusst in ihren Webanwendungen zur Verfügung. Der Fachmann nennt das aber eine SQL-Injection-Sicherheitslücke.

Nun ja, die vom Nutzer editierte WHERE-Klausel ist natürlich ohnehin zu prüfen (u.a. auf syntaktische Korrektheit), das versteht sich doch von selbst.

Wir empfehlen für die Kommunikation mit dem Datenserver immer den Einsatz so genannter stored procedures ("gespeicherte Prozeduren"), dann kann es beim Funktionsaufruf keine SQL-Injection geben (ausser man hat ein Eigentor (a la ISQL) programmiert ;).