Ich kann haentschman ung gmc616 nur zustimmen: IMMER mit Parametern arbeiten! Auch ich habe früher mit "Value" gearbeitet...weil es so schön einfach war...tja, das rächt sich hin und wieder mal und führt regelmässig zu zeitaufwendigen Suchen nach Fehlern. Es ist zwar ein Tick mehr Arbeit, die Parameter auszuschreiben, aber am Ende gibt es dafür keine Fehlersuche mehr (naja, zumindest nicht an der Stelle...).

Hartmut

Aus Sicherheitsgründen ist es (fast) zwingend nötig mit SQL Parametern zu arbeiten, da sonst über SQL-Injection und Co. die Gefahr von Angriffen auf das System (Server oder nur Datenabzug/zerstörung) zu groß ist.

Auch würde man (im Firmenumfeld) Probleme bekommen, wenn über die SecurityAnalyse der gesendeten SQL-Befehle (SQL Profiler) sieht und du dann überall nachweisen musst das du die String immer Escapst.