Mặc dù bạn có thể có truy vấn của mình hoàn toàn an toàn mà không bị ràng buộc (bằng cách định dạng tất cả các biến theo cách thủ công), nhưng sử dụng các câu lệnh đã chuẩn bị để thể hiện dữ liệu của bạn trong truy vấn thực sự là cách thích hợp duy nhất.
Tầm quan trọng của việc sử dụng các tuyên bố chuẩn bị sẵn thường bị đánh giá sai, vì vậy, tôi muốn làm rõ những lợi ích thực sự:
- câu lệnh được chuẩn bị sẵn giúp định dạng (hoặc xử lý) phù hợp là điều không thể tránh khỏi .
- câu lệnh được chuẩn bị sẵn thực hiện định dạng (hoặc xử lý) phù hợp ở vị trí thích hợp duy nhất - ngay trước khi thực thi truy vấn, không phải ở đâu khác, vì vậy, sự an toàn của chúng tôi sẽ không dựa vào các nguồn không đáng tin cậy như
- một số tính năng 'ma thuật' của PHP thay vì làm hỏng dữ liệu hơn là làm cho nó an toàn.
- thiện chí của một (hoặc một số) lập trình viên, những người có thể quyết định định dạng (hoặc không định dạng) biến của chúng ta ở đâu đó trong luồng chương trình. Đó là điểm vô cùng quan trọng.
- câu lệnh đã chuẩn bị ảnh hưởng đến chính giá trị đang đi vào truy vấn, nhưng không ảnh hưởng đến biến nguồn, giá trị này vẫn còn nguyên vẹn và có thể được sử dụng trong mã tiếp theo (được gửi qua email hoặc hiển thị trên màn hình).
- câu lệnh đã soạn sẵn có thể làm cho mã ứng dụng ngắn hơn đáng kể, thực hiện tất cả các định dạng phía sau (* chỉ khi trình điều khiển cho phép).