Hallo zusammen.

Ich habe durch einige Thread in der DP mittlerweile gelernt, dass Statements mit Parametern sicherer sind als per Format-Funktion. Trotzdem blieben zwei Fragen unbeantwortet:

1. Was genau sind prepared-Statements und was bringt mir das ganze? geklärt
2. Wo bringe ich die SQL-Strings im Programm unter, damit man möglichst nicht oder möglichst schwer daran rummanipulieren kann? Als normaler String (z.B. Query.SQL.Text := 'Hier das SQL'), als Konstante, als Ressourcenstring, etc.