Могу ли я связать постоянные данные в подготовленном операторе? ⇐ Php

[Anonymous]

Можете ли вы смешивать вводимые пользователем данные с фиксированными данными в подготовленном операторе с точки зрения безопасности или каждое условие запроса должно иметь заполнитель?

Например:

$code = htmlspecialchars($_GET['code']); // USER INPUT DATA
$status = 'A'; // FIXED

$stmt = $connect->prepare("SELECT s_id FROM events WHERE s_code = ? AND s_status = ?") or die(mysqli_error());
$stmt->bind_param('ss', $code, $status);
$stmt->execute();
$stmt->bind_result($reference);


Или это тоже приемлемо?

$code = htmlspecialchars($_GET['code']); // USER INPUT DATA

$stmt = $connect->prepare("SELECT s_id FROM events WHERE s_code = ? AND s_status = 'A'") or die(mysqli_error());
$stmt->bind_param('s', $code);
$stmt->execute();
$stmt->bind_result($reference);


Подробнее здесь: https://stackoverflow.com/questions/263 ... -statement