hi,

2. Reicht es aus, SQL-Queries mittels

prepared Statement und Platzhalter

gegen SQL-Injections zu "sichern"?

Das solltest Du im konkreten Fall mal selber prüfen: Ob es möglich ist, über einen Platzhalter 'code einzuschleusen.

Unabhängig davon wirst Du Eingaben von Benutzern grundsätzlich filtern, beispielsweise um da alle unerlaubten Zeichen rauszunehmen. Wenn der Platzhalter z.b. für einen Integer steht, werden da nur Ziffern aus einer Benutzereingabe an SQL weitergereicht, sonst nix.

Viele Grüße,
Horst Hacke