Revisando alguns códigos sobre segurança e prepared statements, percebi algumas diferenças e fiquei em dúvida sobre o SELECT.
O código abaixo do jeito que está, com $mysqli->query($sql); torna seguro o SELECT ou é necessário fazer todo o processo de prepare, bind_param, execute, bind_result?
O query() por si só já representa um prepared statement?
$sql = "SELECT id FROM membros WHERE email='$e' AND password='$pass' LIMIT 1";
$numrows = $mysqli->query($sql);
if($numrows->num_rows == 0){
...
}
else {
if($numrows->num_rows > 0){
while($result_row = $numrows->fetch_assoc()){
$id = $result_row['id'];
echo $id;
}
}