Weil mein Code aus post 15# hatte ja sql injection ( ich weiß leider noch nicht warum ).
Weil escaping nur relativ wenig mit Injections zu tun hat. PreparedStatements erledigen die Arbeit des Escaping zusätzlich, daher reicht es, nur PreparedStatements zu verwenden.