Hallo.

2. Reicht es aus, SQL-Queries mittels

$query = $dbh->prepare("INSERT INTO foo (a, b) VALUES (?, ?)");
$query->execute($foo, $bar) || die $query->errstr;

> > gegen SQL-Injections zu "sichern"?  
>   
> Prepared Statements sichern 100% gegen SQL-Injection ab, wenn man sie korrekt anwendet.  
  
Wie sähe denn eine nicht korrekte Anwendung aus?