Предотвращение SQL-инъекций в запросах, содержащих только INSERT. Это большое дело? ⇐ Php

[Anonymous]

Я впервые создаю форму PHP, которая будет выполнять запрос MySQL с использованием INSERT INTO для хранения данных в рабочей базе данных. Будет ли это считаться «безопасным» или это перебор?

Код: Выделить всё

$orderText = $mysqli->real_escape_string(stripslashes(htmlentities((!isset($_POST["order_text"])?"undefined":$_POST["order_text"]))));
$stmt = $mysqli->prepare("INSERT INTO testtable (order_text) VALUES (?)");
$stmt->bind_param('s',$orderText);
$stmt->execute();

Я не уверен, как отсутствие SELECT * влияет на уровень риска, которому я подвергаюсь, но кажется, что сценарий, использующий только INSERT, безопаснее. Правда?

Подробнее здесь: https://stackoverflow.com/questions/916 ... a-big-deal