Hallo PHP-Neuling,

escapen wie o.g. ist also nicht ausreichend

Wo escapest Du denn was? Wenn Du es tun würdest, dann könnte es auch ausreichen. Den TYPE generierst Du selbst, denn muss man nicht escapen. Das Problem ist die ID. Wenn sie numerisch ist, könnte auch ein intval() ausreichen, um nur eine Zahl durchzulassen. Andernfalls gibt's in mysqli die Methode real_escape_string (die heißt aus historischen Gründen so) und in PDO gibt's quote.

Die Variable mit dem DB-Handle kannst Du nennen wie Du willst. Meinetwegen auch $oracle.

Rolf