Hallo

, dass der Query Als String mit Platzhaltern (:platzhalter) erstellt und die zu übergebenden Werte z.B. mit bindParam nachgereicht werden.

Ich arbeite mit ? nicht mit :colname. Wäre das n sicherheitstechnischer oder performance Grund???

Schaue dich in den Beispielen der Dokuseite zu prepare um. Es werden beide hier genannte und noch weitere Versionen der Übergabe der Werte gezeigt. Die Performanz wird sich nicht messbar unterscheiden und die Parameter werden in jedem Beispiel durch die Klasse fachgerecht behandelt.

mein toller Dozent hat uns htmlspecialchars() eingebleut :/. Ich finde es auch etwas merkwürdig das ja mit bindeParam überflüssig wird.

Nochmal, es geht nicht darum, dass htmlspecialchars nicht verwendet werden sollte. Es geht darum, dass es dort, wo es hingehört verwendet wird, nämlich, wenn HTML generiert wird. In SQL-Abfragen gehört es nicht hin, also hat es dort auch nichts zu suchen.

Tschö, Auge