@skoschke
Ich geh mal davon aus, dass du im ersten Ansatz ohne die Parameter das
SQL zusammen gebaut hättest inkl. der Werte.
Hier ist noch nicht das Wort
SQL-Injektion gefallen.
SQLs selbst zusammen bauen ist gefährlich und kann in so einer Sicherheitslücke enden. Daher IMMER Parameter verwenden!