Zitat:
Danke für die Infos. Ich dache der Client sendet zum Server immer die Feldernamen mit.
Die Feldnamen schon. Die Feldinhalte werden separat übertragen. Damit ist auch
SQL Injection nicht mehr möglich. Kannst ja mal danach googlen.
Nicht unbedingt die Feldnamen. Der Server weiß ja welche Parameter in welcher Reihenfolge kommen.
Damit reicht es die ID des Preparte Statments zu senden und die Parameter in der entsprechenden Reihenfolge ohne weiter angaben.
Also: 12, 1, Herbert, 1.1.1999