Hallo Lo!

Ob das bei prepared-Statements nötig ist, weiß ich nicht. Das sollen die Experten beantworten.

Generell nicht, wenn man den vorhandenen Platzhaltermechanismus verwendet.

Ich glaube das jetzt verstanden zu haben. Mit "Platzhaltermechanismus" meinst Du so etwas?

$dbh = [PDO-Objekt]; $Feld = "Ort"; $id = "22";  
try {  
  $SQL = "Update Tabelle SET $Feld = :Wert WHERE `id` = :id";  
  $stmt = $dbh->prepare($SQL);  
  $stmt->bindParam(':Wert', $Wert);  
  $stmt->bindParam(':id', $id);  
  $stmt->execute();  
} catch (PDOException $e) {  
  $Fehler="Fehler beim Speichern von $Feld:".$e->getMessage();  
  echo $Fehler;  
}

mfG Rolf