Хотел писать свой ответ, но потом увидел последний абзац и решил просто плюсануть. Не вижу никаких реальных проблем с «играми». Если доступ к записи открыт, то какая разница, как на нее зашёл пользователь — по прямой ссылке или перебором? Если закрыт, то обеспечивать эту закрытость надо чем угодно, но только не «случайными числовыми индексами».
stdit странный вопрос.
во-первых, он это открытым текстом сразу сказал — «серверные prepared statements… не планирую использовать». Т.е. запрос целиком готовится на клиенте.
Во-вторых, ваш же собственный PDO работает точно так же, судя по приведённым логам.
Во-первых, автор, судя по его словам, использует PDO в режиме совместимости, то есть, запрос уходит на сервер с уже постановленными значениями.
Во-вторых, в реальности компилировать всё равно придётся, поскольку чтобы выполнить новый запрос, новый инстанс РНР снова выполнит prepare.
Ж:-О
Мда, вот так читаешь себе хабр, не ждешь подвоха, и вдруг — «на боевом сервере отладку в браузер. патамушта привык».
А потом все удивляются, откуда у похапешников такая репутация.
