witam zastanawiam sie po co uzywac w pdo podpinania ktore jest ok kilka(dziesiat linijek dluzsze zamiast zwyklego exec)?

$stmt=$pdo->exec("INSERT INTO tabela (costam,costam2) VALUES ($cos1,$cos2)");

w podpinaniu bedzie

$stmt=$pdo->prepare("INSERT INTO....");
$stmt->bindValue(....);
$stmt->bindVa;ue(...);
$stmt->execute();

wiem ze to drugie niby chroni przed sql injection, ale by sie chronic przed sql injection przeciez wystarczy m.in. filtrowac formulareze

1. wywali Ci błędem, przy próbie sql injection, 2. prześle to jako zwykły tekst.

2. Zabezpiecza nie niby, tylko w 100% przed SQL Injection. Co do 1. nie jestem pewien, ale też powinno.