Du hast eben keine verwendet, sondern die Werte direkt in den SQL-String eingebaut. Das ist immer schlecht wegen dieser Konvertierungsprobleme und wegen Sql-Injection.

Ganz und gar nicht. Mit den Gänsefüßchen fügst die Werte direkt in den SQL-String ein; mit der Formulierung mit :wert1 (der Doppelpunkt kennzeichnet Parameter unter MySql, bei anderen DBMS geht es anders) wird auf Parameter verwiesen, die separat eingetragen werden.

Für genaueren Code müsstest du die Frage "Zugriff über" konkret beantworten.

Jürgen