Hola como están campeones?.

Bueno estoy desarrollando una aplicación con mysqli y estoy en una gran duda.

mysqli como sabemos, nos ofrece preparar consultas. (preparestatement),
y me vi en el caso de pedir sus humildes opiniones con respecto a lo sig :

en una parte de la aplicación el usuario puede guardar codigo, y para evitar sql injection estoy transformando lo que el usuario escribe en entidades.(Ya que escribira puro codigo) con htmlentities().

Por lo cual toda la cadena quedara en entidades... ¿ Sera necesario preparar la consulta ?.

Como sabemos, preparar la consulta , atar las variables ( bind ), y ejecutarla
lleva un par de lineas mas que ejecutar un query simple.

Vale la pena hacerlo para ganar rendimiento en el sistema ? (ya que se supone que las consultas preparadas se demoran menos en la ejecución.)

Alguien me podria dar su opinion :) ? Graaaaaaaaaaaacias !