私は現在、SQL インジェクションに対する強固なセキュリティを必要とするアプリケーションを作成しています。私の質問はこれです。SQL インジェクションを防ぐために、入力パラメーターを準備ステートメントから分離することは絶対的な要件ですか?それとも、SQL インジェクションがないようにステートメントを単純に準備できますか?
つまり、mysqli_prepare を単純なチェックとして使用して、以前に作成したステートメントに SQL が挿入されていないことを確認できますか? それとも、パラメーターをバインドし、サーバーから返された情報を処理するために返された後続のステートメント構造を使用するプロセス全体ですか?