Возможна ли SQL инъекция в случае, если мы проставляем параметры не полученые от пользователя?

Question

[driverx18]

Допустим, в коде есть запрос что-то типа:
SELECT * FROM users WHERE user_id = :user_id AND hidden = 'no' LIMIT 5;

В нем мы user_id делаем плейсхолдером, а hidden мы проставляем явно как no. с user_id проблем нет, но плохо ли, что hidden мы не сделали плейсхолдером? Возможно ли получить инъекцию?

Comments

[galliard]

Я вот чисто из любопытства хочу спросить: а почему вы вообще допустили возможность инъекции в этом случае?