Weil die Datenbankinhalte direkt geparst werden, egal was darin steht. Das heißt wenn jemand Bösen code in deine DB kritzelt, wird das direkt auf deinem Server ausgeführt.
Wenn möglich würde ich sowas immer vermeiden, und das Problem auf der Programmseite lösen. (in my Opinion: Datenbanken sind für Daten nicht für Programmcode )
Kommentar