Encoder: SQL Injection

Beitrag lesen

Was du brauchst sind ' ' um deinen Stringwert im SQL falls die ID wirklich ein String ist, oder einen Test ob sie eine Zahl ist. Ich nehme an sie ist eine Zahl, dann musst du prüfen ob dem so ist.

Deine Funktion hat mit dem Problem und auch mit der Antwort von tk nichts zu tun.
Eine Funktion Get...String zu nennen wenn sie verschiedene Typen zurückgibt halte ich übrigens für keine übersichtliche Idee.
Setze im SQL bereits die Anführungszeichen für einen Stringwert, dann bist du auf der sicheren Seite. (Sofern es sich wirklich um einen String handelt)