Ini hampir merupakan diskusi agama tergantung pada siapa Anda bertanya. Ada keseimbangan rumit yang harus didamaikan oleh pengembang &dbas dalam jenis kasus ini.
Pada dasarnya inilah pemikiran yang benar-benar ingin Anda terapkan:
Jika kode PHP menggunakan SQL dinamis, perlindungan terhadap serangan injeksi SQL harus dipertimbangkan setiap saat. Input HARUS dibersihkan sebelum dimasukkan ke database.
Jika kode PHP menggunakan SQL dinamis tetapi konvensinya adalah menggunakan pernyataan yang disiapkan maka Anda lebih aman sampai tingkat tertentu tetapi harus berhati-hati dalam bagaimana pernyataan yang disiapkan digunakan.
Jika kode PHP menggunakan prosedur tersimpan, sebagian besar kontrol SQL dihapus dari pengembang dan diserahkan kepada DBA untuk bekerja dengan pengembang untuk memberikan solusi yang memadai yang memenuhi kebutuhan mereka. Sayangnya, ini dapat menyebabkan banyak waktu dan usaha dan bolak-balik dalam pengembangan/pemeliharaan.
Ini adalah salah satu dari hal-hal yang merupakan wilayah abu-abu dan ada banyak aliran pemikiran di sisi persamaan mana yang benar karena keduanya berasal dari sudut pandang tertentu.
