Hi!

habe nochmals den Artikel zum Kontextwechsel gelesen, aber da steht auch nirgends, ob ' OR '&<> richtig ist, bzw. warum die Backslashes nicht mit gespeichert werden.

Das steht sinngemäß gleich zu Anfang im Absatz Programmcode und Daten. Die Daten müssen nur für das SQL-Statement aufbereitet werden. Im DBMS stehen (genauso wie im Speicher eines Programms) nur die reinen Daten, weil der Kontext "SQL-Statement" (beziehungsweise "Code in der Programmiersprache XY") zu dem Zeitpunkt schon wieder Geschichte ist.

Du hast immer noch nicht das Prinzip dahinter verstanden, dass es nur darum geht, bei einem Mischen von Code mit Daten zu Transportzwecken, die Daten eindeutig zu kennzeichnen/erkennen. Zur weiteren internen Verarbeitung und Speicherung sind die Rohdaten erforderlich. Erst beim nächsten Transport, wenn die Daten wieder in einen Code-Kontext eingebunden werden sollen, müssen die nächsten Maskierungen eingefügt werden. Auch der Empfänger dieser Mischung wird daraus wieder die Rohdaten extrahieren.

Lo!