Aus Sicherheitsgründen ist es (fast) zwingend nötig mit
SQL Parametern zu arbeiten, da sonst über
SQL-Injection und Co. die Gefahr von Angriffen auf das System (Server oder nur Datenabzug/zerstörung) zu groß ist.
Auch würde man (im Firmenumfeld) Probleme bekommen, wenn über die SecurityAnalyse der gesendeten
SQL-Befehle (
SQL Profiler) sieht und du dann überall nachweisen musst das du die String immer Escapst.
Windows Vista - Eine neue Erfahrung in Fehlern.