[QUOTE=NoGAD;1504988]Als Ergänzung, Delphi sucht aus dem SQL die Parameter raus. So kannst Du sie über ParamByName ansprechen. Die Namen legst Du selbst im SQL Statement fest.
Bei diesem Verfahren kannst Du nicht nur den Wert angeben, sondern auch den Typ berücksichtigen, String, Datum, Zahl .. schau es Dir an.
Damit erschlägst Du auch gleich Konvertierungsprobleme, Quoting und eben Injection.