準備済みステートメントを使用してデータベースにデータを入力していますが、準備済みステートメントを使用してデータを取得していません。その理由は、コードが少し小さく、私が読んだことから、少し高速だからです。これにセキュリティ上の問題はありますか?
例:
データを挿入します。
$stmt = mysqli_prepare($con, "INSERT USERS (userFname) ( VALUES (?)");
mysqli_stmt_bind_param($stmt, 's', $userFname);
mysqli_stmt_execute($stmt);
mysqli_stmt_close($stmt);
データを取得します。
$query = mysqli_query($con,"SELECT * FROM users WHERE userEmail = '$userEmail'");
この方法は、準備済みステートメントを使用してデータをフェッチするのと同じくらい安全ですか?