Hi!

Um Daten in eine Datenbank zu schreiben muss ich einige Benutzereingaben mit Hochkommata versehen, damit sie als String erkannt werden.

Es ist nicht von Belang, wo die Daten herkommen. Das DBMS will nur ein den Regeln entsprechendes SQL-Statement haben. Und da sehen die Regeln vor, dass String-Literale in Begrenzungszeichen zu notieren sind. Weiterhin muss man diese Begrenzungszeichen gesondert notieren, wenn sie innerhalb der Daten vorkommen, sonst werden sie als Begrenzungszeichen interpretiert, was im besten Fall zu einem Syntaxfehler führt, aber auch gezielt für SQL-Injection ausgenutzt werden kann. Das ist kein SQL-spezifisches Problem, sondern tritt immer dann auf, wenn Daten und Anweisungen gemischt in einem Dokument/String notiert werden müssen. Mehr zu dieser Problematik: http://wiki.selfhtml.org/wiki/Artikel:Kontextwechsel

Lo!