Hallo MB,

Was ich vergessen habe zu erwähnen das ich natürlich mit htmlspecialchars()

Du hast im Titel sowie in den Tags des Ursprungspostings die Stichwörter PHP und SQL verwendet. Geht es Dir um diese beiden Bereiche? Wenn ja, ist es zwar gut, dass Du htmlspecialchars() verwendest, wenn Du etwas in einem HTML-Kontext ausgeben möchtest; das hat aber mit der ursprünglichen Fragestellung nichts zu tun.

Genau darum geht es bei einem Kontextwechsel: Wann möchte ich was in welcher Form an "etwas anderes" übergeben? PHP und SQL ist dabei HTML egal. Ebenso ist bspw. SQL egal, ob das jetzt von einem PHP-Skript kommt oder nicht. @dedlfix kann das bestimmt noch besser als ich erklären, falls der bereits verlinkte Kontextwechsel-Artikel nicht ganz klar sein sollte.

und prepared statements arbeite.

Auch das ist grundsätzlich gut. Aber welche Antwort hattest Du bei Deiner ursprünglichen Frage erwartet? Ich zumindest erkenne da erstmal keine prepared statements. Kann es sein, dass Du PDO evtl. nicht so einsetzt, wie man es könnte? Neben dedlfix haben ja auch schon Rolf und Tabellenkalk in diese Richtung vermutet.

Hast Du noch etwas mehr Code oder kannst etwas ausführlicher beschreiben, worum es Dir eigentlich geht? Oder war Deine Ursprungsfrage rein akademisch?

Gruß
Dennis