Hi dedlfix,

Nein, so unübersichtlich muss man das nicht machen. Nimm am besten sprintf() zum Zusammenbauen der Query (wenn du keine Prepared Statements verwenden willst/kannst).

$sql = sprintf("UPDATE ... SET wert='%s' WHERE ...", escape_funktion_für_dein_dbms($_POST['wert_input'][$update_id]));

Puh. Sieht für mich auf den ersten Blick noch komplizierter aus, wie meine Query. Nicht bei dieser Query, aber bei anderen mit Joins und so??

Und bitte informiere dich zum Thema Kontextwechsel, wenn du keine SQL-Injection-fähigen Lücken einbauen willst.

Sorry. Hätte ich dazu schreiben können. Dieses Thema ist mir sehr geläufig und ich gehe es mit einer eigenen Funktion an, die ich je nach Bedarf (int, string, float) einsetze.

Grüße, Kjorni