Citazione Originariamente Scritto da diego72 Visualizza Messaggio
Uhm.... premesso che non uso php e mysql da secoli, il concetto è il seguente:
Invece di costruire la stringa sql da dare in pasto a mysql bell'e pronta (esempio: SELECT * from USER where USERNAME = 'Claudio'), si costruisce una query generica (SELECT * from USER where USERNAME = :1) e poi si effettua un bind indicando al database di usare la variabile 'Claudio' al posto del parametro :1.
emmm.. temo che sia esattamente quello che stiamo facendo
anche perchè se è statica la query.. non può avere un sql injection