Keduanya. Pernyataan yang disiapkan akan melindungi Anda dari injeksi SQL jika, dan hanya jika, Anda menggunakannya dengan cara yang benar. Hanya 'menggunakan' pernyataan yang disiapkan tidak akan membantu jika Anda masih menginterpolasi variabel untuk nama tabel/kolom misalnya.
$stmt = "SELECT * FROM $table WHERE $column = ?"; //not good...
Bagaimana cara mengambil catatan terakhir dalam tabel database MySQL menggunakan PHP?
Apakah ada cara untuk memasukkan nilai besar dalam DB mysql tanpa mengubah max_allowed_packet?
Menggunakan HHVM Dengan WordPress
Cara termudah untuk mengaktifkan PHP dan MySQL di Mac OS 10.6 (Snow Leopard), 10.7 (Lion), 10.8 (Mountain Lion)?
Apa pernyataan yang disiapkan sisi klien?
