Вопрос по безопасности

значит ли это, что <...> инъекция не грозит?

Нет, не значит. $query вполне может формироваться «опасным» способом. Вот если там потом ->bindValue (или родня) используется везде, тогда да.

Ага, спасибо. Там вроде ничего такого нет.

Сам запрос формируется так

$this->db->query_all('select * from members where foo=? and bar=?',array('test','test2'));

    /* prepare the query */
    try {
      $this->result = $this->pdo->prepare($query);
    } catch (PDOException $e) {
        throw new Exception(sprintf("PDO Error: %s Query: %s",$e->getMessage(),$query));
        return false;
    }      
    
    /* execute with params */
    try {
      $this->result->execute($params);  
    } catch (PDOException $e) {
        throw new Exception(sprintf("PDO Error: %s Query: %s",$e->getMessage(),$query));
        return false;
    }    

То есть, вроде всё как по примеру , вопросительные знаки, массив подставляемый по порядку. Это альтернативный подход именованым prepared statements, и здесь, как и там, запрос и параметры подаются отдельно. Получается, отличие состоит в том, что тут не происходит строгой проверки по типу со всякими PDO::PARAM_* поэтому это небезопасно? Но строгая типизация ещё ведь не означает защиты от инъекций, так?

Разделение запроса и данных даёт гарантию защиты от инъекций, так как отсекается возможность сделать ошибку с экранированием параметров.

Подытожим: то есть в PDO суть достигается разделением и ничем больше (то есть этого достаточно, разницы между подготовкой через имена и «?» с точки зрения безопасности нет)?

(Достаточно просто да или нет)

разницы между подготовкой через имена и «?» с точки зрения безопасности нет?

Разницы с точки зрения безопасности нет.

Спасибо ещё раз, тема закрыта.