Hola como están campeones?.
Bueno estoy desarrollando una aplicación con mysqli y estoy en una gran duda.
mysqli como sabemos, nos ofrece preparar consultas. (preparestatement),
y me vi en el caso de pedir sus humildes opiniones con respecto a lo sig :
en una parte de la aplicación el usuario puede guardar codigo, y para evitar sql injection estoy transformando lo que el usuario escribe en entidades.(Ya que escribira puro codigo) con htmlentities().
Por lo cual toda la cadena quedara en entidades... ¿ Sera necesario preparar la consulta ?.
Como sabemos, preparar la consulta , atar las variables ( bind ), y ejecutarla
lleva un par de lineas mas que ejecutar un query simple.
Vale la pena hacerlo para ganar rendimiento en el sistema ? (ya que se supone que las consultas preparadas se demoran menos en la ejecución.)
Alguien me podria dar su opinion :) ? Graaaaaaaaaaaacias !