[MySQL][PHP][PDO]bind czy exec? Opcje

[michat34]

witam zastanawiam sie po co uzywac w pdo podpinania ktore jest ok kilka(dziesiat linijek dluzsze zamiast zwyklego exec)?

$stmt=$pdo->exec("INSERT INTO tabela (costam,costam2) VALUES ($cos1,$cos2)");

w podpinaniu bedzie

$stmt=$pdo->prepare("INSERT INTO....");
$stmt->bindValue(....);
$stmt->bindVa;ue(...);
$stmt->execute();

wiem ze to drugie niby chroni przed sql injection, ale by sie chronic przed sql injection przeciez wystarczy m.in. filtrowac formulareze

[Damonsson]

1. wywali Ci błędem, przy próbie sql injection, 2. prześle to jako zwykły tekst.

2. Zabezpiecza nie niby, tylko w 100% przed SQL Injection. Co do 1. nie jestem pewien, ale też powinno.