Hallo dedlfix,

danke für deine Antworten. Wirklich sehr hilfreich.

In vielen Foren wird beschrieben, das man prepared Statements nur verwenden soll, wenn Benutzereingaben verarbeitet werden, wenn jedoch intern Daten verarbeitet werden, kann man wieder normale Abfragen nehmen, da diese schneller verarbeitet werden (Einzelabfrage).

Hier sehe ich genau das Problem des Kontextwechsels, da ja vorher über prepared Statements ungeprüfte Angaben ausgelesen und dann in eine normale Abfrage eingebunden werden.
Also doch durchweg prepared Statements verwenden?

Ich habe gelesen, dass bei einem guten Programmdesign, bei dem Datenzugriffe und der Rest des Programm getrennt sind, es einfach ist, sicherzustellen das alle Abfrage vorher prepared sind.

Ist hiermit gemeint, das alle Abfragen in entsprechende Funktionen ausgelagert werden?

Donald