SQLインジェクション対策にはバインド変数を

SQLインジェクションへの対策として、予めSQL文を決めておき、後から値を指定するバインド変数の利用が有効とのことです。 バインド変数の利用によって、シングルクォーテーションが必要なくなり、SQL文も変わらないため、SQLインジェクションの危険性がなくなるらしいです。