Push Pull

А что ожидаете?? Что должно происходить??
Серьезно, если это весь код что у вас есть то ничего у вас в выводе не будет, если же беда в том что файл не создается, вероятно у вас нет прав на его создание. Наибольшей проблемой для вас будут права, остальное будет в выводе, если он у вас настроен.

При подготовленных выражениях спасают от уязвимостей первого и второго порядка. Это в случае если sql не формируется динамически, а таком случае только первого.
По простому, защищает от всех возможных sql инъекций, ddos, и прочих нагрузочных запросов.
У нас на больших проектах(php) очистка проходит именно так, пока проблем с безопасностью не было.