Действительно ли в PHP PDO Prepared statements не поддерживаются для операций INSERT/UPDATE?

Question

[Dolbaldor-Bender]

Наткнулся на одно утверждение в выступлении Роман Шевченко (phpfaq.ru)
Презентация сама 2013.devconf.ru/data/2013/presentation/24.pdf
Там в одном слайде говорится:
Prepared statements не поддерживаются
• для идентификаторов
• для массивов в операторе IN()
• для массивов в запросах INSERT/UPDATE

Мои Вопросы:

1. Можете расшифровать что имеется виду?
   
2. Значит ли это что ...prepare() не спасает от SQL инъекций в запросах INSERT/UPDATE?
   
3. Или это значит что не спасает "для массивов" ?
   
4. О каких именно массивах идет речь и в каком месте они тут могут быть?
   

Answer 1

[Сергей Протько]

речь именно о массивах.

$ids = [1, 2, 3, 4];
$sql = 'SELECT * FROM table WHERE id IN (?)'; // нельзя
$sql = 'SELECT * FROM table WHERE id IN (?, ?, ?, ?)'; // можно

Comments

[Dolbaldor-Bender]

"для идентификаторов" А индентификаторы" Что тут имеется виду?

[Dolbaldor-Bender]

Не ужели если я для prepare() делаю запрос
$sql = 'SELECT * FROM table WHERE id = ?';
$id = '$_GET[id]'; //Получен от пользователя и он мог туда все что угодно вставить

И это может пропустить инъекцию?

[Александр Мелеховец]

Dolbaldor-Bender: Идентификаторы - это имена таблиц и колонок.

[Dolbaldor-Bender]

Александр: Спасибо успокоил))))