Hola bueno les comento que hace poco me estoy metiendo al tema de POO con PHP..
normalmente yo hacía todo en modo "procedimental" usando cosas como
mysql_real_escape_string para filtrar mis cadenas.
Pero me he encontrado con que ahora en POO hay algo más de control como por ejemplo
si yo hago un bind_param('i' y digo que es entero me daría un error al tratar de cargar un string ahi..
hay otras varias cositas muy copadas ahi pero! y aqui va la pregunta..
en los ejemplos de mysql_query <- procedimental! APARECE mysql_real_escape_String y explicitamente dice que es para filtrar..
pero en los ejemplos de querys con MYSQLI no existe esa función en ningúno de los ejemplos..
yo me pregunto entonces... haciendo esto...
$algo = $laconexion->prepare("consulta...");
$algo->bind_param('...',primero,segundo,etc);
$algo->execute();
....
...
ya es suficiente para prevenir la inyección???
incluso cuando el bind_param es del tipo "s" ??
o existe algúna otra función que deba ser "pasada" para eso y que en los ejemplos no aparece?
realmente he buscado por todo internet esta pregunta y no he encontrado nada nada de documentación sobre ese aspecto..
espero una pronta respuesta y desde ya MUCHÍSIMAS GRACIAS!