Hi,

Ich habe gelesen, dass Prepared Statements auch schneller bearbeitet werden, dass ist auch einer der gründe ; oder ist das auch eher zu vernachlässigen?

Wie dedlfix schon anmerkte, muessen nach dem einmaligen Aufbereiten des Statements bei nachfolgenden Statements gleichen Aufbaus (innerhalb der gleichen Scriptinstanz) nur noch die Nutzdaten zum DB-Server uebertragen werden - im Gegensatz zu "normalen" Statements, die jedes Mal auf's Neue geparst werden muessen, auch wenn der Befehlsanteil identisch bleibt, und sich nur die Daten aendern.

Hier hast du eine "nette" Bad-Word-Liste. Dumm nur, dass du auf vermutlich genauso wirksame Bestandteile wie "SCRIPT" oder "INCLUDE" in Upper Case nicht reagierst.

Gibt es bei Regex einen Trick, das Case-Sensitive zu machen?

1. Du meinst case insensitive,
2. RTFM - http://www.php.net/manual/en/reference.pcre.pattern.modifiers.php

MfG ChrisB