Buenas,

Actualmente esoy planteandome pasar de mysql a mysqli, y tengo algunas dudillas al respecto.

He estado mirando y en casi todos sitios pone que es mejor realizar las querys con prepared statements, por temas de rendimiento (entre otras cosas). ¿Realmente merece la pena hacer las consultas de esta manera?

Por otra parte, a la hora de realizar las querys en los tres pasos (preparación, parámetros y ejecución), ¿la clase se encarga de validar los datos? es decir, ¿sigue siendo necesario un mysql_real_escape()?

Entiendo que brinda más seguridad, ya que en todo momento le decimos qué tipo de parámetros vamos a pasarle... por lo que supongo (y sólo supongo) que si se intenta inyectar SQL lo detectará, ¿no?

Saludos.