Требуется ли функция mysql_real_escape_string() для подготовленных операторов?

При использовании подготовленных операторов, как в данном запросе:

$sql = $db->prepare('select location from location_job where location like ?');

$sql->bind_param('s', $consulta);
$sql->execute();
$sql->bind_result($location);

функция mysql_real_escape_string() не требуется, поскольку подготовленные операторы обеспечивают безопасный способ предотвращения атак SQL-инъекцией путем экранирования любых специальных символов во входных данных.

Одним из предложений по улучшению запроса является использование знака '?' заполнитель, позволяющий более удобно передавать параметры через метод выполнения:

$sql->execute([$consulta]);

Однако не забудьте очистить ввод пользователя с помощью htmlspecialchars () перед его отображением, чтобы предотвратить уязвимости межсайтового скриптинга.