Meskipun Anda dapat membuat kueri Anda benar-benar aman tanpa mengikat (dengan memformat semua variabel secara manual), menggunakan pernyataan yang disiapkan untuk mewakili data Anda dalam kueri memang satu-satunya cara yang tepat.
Pentingnya menggunakan pernyataan yang sudah disiapkan sering salah dinilai, jadi, saya ingin mengklarifikasi manfaat sebenarnya:
- pernyataan yang disiapkan membuat pemformatan (atau penanganan) yang tepat tidak dapat dihindari .
- pernyataan yang disiapkan melakukan pemformatan (atau penanganan) yang tepat di satu-satunya tempat yang tepat - tepat sebelum eksekusi kueri, bukan di tempat lain, jadi, keamanan kami tidak akan bergantung pada sumber yang tidak dapat diandalkan seperti
- beberapa fitur 'ajaib' PHP yang lebih merusak data daripada membuatnya aman.
- niat baik dari satu (atau beberapa) programmer, yang dapat memutuskan untuk memformat (atau tidak memformat) variabel kita di suatu tempat dalam aliran program. Itulah poin pentingnya.
- pernyataan yang disiapkan memengaruhi nilai yang masuk ke kueri, tetapi bukan variabel sumber, yang tetap utuh dan dapat digunakan dalam kode lebih lanjut (untuk dikirim melalui email atau ditampilkan di layar).
- pernyataan yang disiapkan dapat membuat kode aplikasi lebih pendek secara dramatis, melakukan semua pemformatan di belakang layar (*hanya jika pengemudi mengizinkan).
