wie ich z.B. vom User sowohl die abzufragenden Felder + dynamische wehre Bedingungen in ein Prepaid Statement setze
Perfekt: hab das gerade geposted.
Prepared Statements (PDO) copy|paste Beispiele.
der overhead von PreparedStatements zu Verschwendung von Ressourcen führt
Glaub mit - da draußen ist das das geringste Problem.
Sicherheit > "speed".
wirkt auf mich auch eher als wolle man sich nicht mit der sache beschäftigen.
Ich hab mich lange damit beschäftigt.
Das Problem ist, dass man das nicht so einfach runterschreiben kann.
Es würde einfach so lang werden, dass es keiner liest.
Aber es gibt vieles im Netz dazu. Was ich hier versucht ist, den Leuten klar zu machen, dass es "da was gibt" - Problem und Lösung.
Generell: auf SQL-Injections hinweisen. Alle Daten sind böse.
Im Detai: in Richtung Prepared Statements lenken, damit die Leute sich damit beschäftigen.
Und ebenfalls verschleiert es für Anfänger die eigentliche Problematik: die Wichtigkeit der Validierung der eingaben
Du prüftst, ob die email zu lang ist.
Du prüfst, ob der nickname legal, nicht leer, und nicht schon vergeben ist.
...
Aber Du kannst nicht alle Injections der Welt kennen.
Das, also das Thema Sicherheit, überlassen wir dem MySQL Server (bei richtiger Bediehnung).