Yerf!

Müsste ich jetzt um ganz sicher zu gehen diese zweite Select Abfrage auch wieder mit Prepared Statements machen, oder kann da eigentlich nichts passieren?

Das kommt darauf an, woher der Ursprüngliche Wert für dieses Feld kam. Ist er selber generiert sollte er ungefährlich sein. Kam er dagegen aus einer Benutzereingabe so muss er *jedesmal* maskiert werden, da dieser Vorgang gefährliche Bestandteile nicht entfernt, sondern *einmalig* für die Verwendung  sichert. Sollte zu einem späteren Zeitpunkt einmal der Wert unmaskiert benutzt werden schlägt die SQL-Injection eben verzögert zu....

Gruß,

Harlequin