Tach!

Wenn Daten in den SQL-Kontext gebracht werden, müssen SQL-Sonderzeichen escapet werden, um SQL-Injecions zu verhindern. Prepared Statements können einem das abnehmen.

Um es genauer zu formulieren: In Prepared Statements werden die Daten in keinen anderen Kontext gebracht. Sie werden durch die entsprechenden Funktionen der DBMS-API in Rohform entgegengenommen. Da wird einem also nichts abgenommen, sondern da ist das Thema schlicht und ergreifend nicht existent.

P.S: Das bezieht sich genau genommen auf echte Prepared Statements und nicht auf nur simulierte, die im Hintergrund ein herkömmliches SQL-Statement zusammenbauen. Andererseits ändert das aus Sicht des anwendenden Programmierers nichts, weil in beiden Fällen für ihn kein Kontextwechsel vorliegt.

dedlfix.