Kann ich konstante Daten in einer vorbereiteten Anweisung binden? ⇐ Php

[Anonymous]

Können Sie aus Sicherheitsgründen Benutzereingabedaten mit festen Daten in einer vorbereiteten Anweisung mischen oder muss jede Abfragebedingung einen Platzhalter haben?

Zum Beispiel:

Code: Select all

$code = htmlspecialchars($_GET['code']); // USER INPUT DATA
$status = 'A'; // FIXED

$stmt = $connect->prepare("SELECT s_id FROM events WHERE s_code = ? AND s_status = ?") or die(mysqli_error());
$stmt->bind_param('ss', $code, $status);
$stmt->execute();
$stmt->bind_result($reference);

Oder ist das auch akzeptabel?

Code: Select all

$code = htmlspecialchars($_GET['code']); // USER INPUT DATA

$stmt = $connect->prepare("SELECT s_id FROM events WHERE s_code = ? AND s_status = 'A'") or die(mysqli_error());
$stmt->bind_param('s', $code);
$stmt->execute();
$stmt->bind_result($reference);