Hi

Die Überschrift gilt zwar für den gesamten Kasten, aber der Kommentar vor dem zweiten hebt sie für dieses auf. Das heißt also, dass der zweite Teil richtig ist. Ansonsten könnte man ja gar kein LIKE mit Prepared Statements verwenden.

aber ist es nicht so , dass man mit den prepared statements gar kein LIKE übergeben kann, sondern dass es schon im sql statement stehen muß????

es gibt doch 3 Verschiedene methoden etwas ins statement einzufügen:

$pdo->bindValue(...)
$pdo->bindParam(...)
$pdo->bindColumn(...)

kann man dann nicht davon ausgehen, dass automatisch % escaped oder umgeschrieben wird.

Davon kann man nicht ausgehen. Zum einen, weil es nicht so definiert ist und zum anderen weil ein Prepared Statemend nicht unterscheiden kann, ob das % oder _ nun Jokerzeichen sein soll oder nicht.

??
kannst Du nicht mal ein Beispiel posten, wie man  konkret mit % oder _ etwas gefährliches über ein Formular einfügen kann.

carsten