Hallo und guten Morgen,

Da will ich aber nochmal "hinten reingucken", was da wirklich passiert. Ist es nicht so, dass trotzdem ein SQL-Statement generiert wird?

Das kann dir als Nutzer egal sein, weil du darauf keinen Einfluss hast und sich in keinem Fall etwas ändert. Wenn es echte Prepared Statements sind, dann gehen das Statement und die Daten getrennte Wege, und das ist was zählt. Aber auch diesen Fakt muss man nicht zwangsläufig wissen. Man kann sich auch auf die Betrachtung der API beschränken. Schon da musst du Statement und Daten trennen und letztere in Rohform übergeben.

Ich hab ja vorhin auch nichts anderes beahuptet, als dass bei Verwendung von Prepared Statements sich das Programm um das Escaping kümmert (sofern es denn notwendig ist). Wenn in der API "Uses" benutzt wird, ist es duchaus noch notweindig, wenn Adressen auf Datenblöcke gehandelt werden, deren Typ und Größe bekannt sind, eben nicht. Dann kommt ja gar keine Text-/Befehlsschnittstelle mehr mit den Daten in Berührung.

Grüße
TS