Migrazione codice da funzioni mysql a PDO

[valerio.risa]

Ho bisogno di consigli per utilizzare i giusti metodi di PDO in ottica sicurezza.
Ditemi se sbaglio, tutte le query dove c'è un'immissione dati dell'utente le sto convertendo con il metodo prapare e quindi bind dei dati per prevenire ogni forma di injection.
Ho dei dubbi su alcune query, la dove nella clausola where ho dei controlli con una variabile di sessione, sto procedendo più rapidamente con query() o exec(), dal punto di vista della sicurezza sarebbe meglio sempre utilizzare prepare e bind anche in questi casi o vado bene con query/exec?
Grazie.

[Alhazred]

Sì, usa sempre prepare e bind.
Per i dati che provengono da form fa comunque anche la validazione prima ancora di passare a prepare e bind, se per esempio hai un campo in cui ci si possono scrivere solo numeri, assicurati che ti arrivi un numero, se deve arrivare un indirizzo email assicurati che sia effettivamente stato inserito un indirizzo email e cose di questo tipo.