que estoy haciendo algo de investigación en seguridad web, y el revisor de mi artículo dice:Prevención de la inyección de sql: ¿por qué se debe evitar la entrada si se utilizan las declaraciones preparadas?
"Debe quedar claro que, para evitar la inyección de SQL, la aplicación debe utilizar declaraciones preparadas, procedimientos almacenados y escapar de entrada"
Mi pregunta es: ¿uno de estos métodos no es suficiente? Ok, las declaraciones preparadas o los procedimientos almacenados son mejores que un simple escape, pero si uso PDO, ¿por qué debería escapar de la entrada o tener un procedimiento almacenado? ¿Esto tiene sentido?
Al leer su pregunta me da la impresión de que está interpretando la frase * 'declaraciones preparadas, procedimientos almacenados y entrada de escape' * como * '(declaraciones preparadas o procedimientos almacenados) y entrada de escape' *. :) Para ser sincero (aunque pueda ser tonto), lo interpretaría como * 'declaraciones preparadas o procedimientos almacenados o entrada de escape' *. –