Я провожу исследование в области веб-безопасности, и рецензент моей статьи сказал:
"Должно быть ясно, что для предотвращения SQL Injection приложение должно использовать подготовленные операторы, хранимые процедуры и экранированный ввод"
Мой вопрос в том, что одного из этих методов недостаточно? Хорошо, подготовленные операторы или хранимые процедуры лучше, чем простое экранирование, но если я использую PDO, почему я должен экранировать ввод или иметь хранимую процедуру? Имеет ли это смысл?