Я где-то читал здесь, что использование подготовленных операторов в PDO делает ваше приложение невосприимчивым только к инъекциям SQL первого порядка, но не полностью защищенным от инъекций второго порядка.

Мой вопрос: если мы использовали подготовленные операторы во всех запросах, включающих запросы SELECT, а не только в запросе INSERT, то как может быть возможно внедрение sql второго порядка?

Например, в следующих запросах нет шансов для внедрения 2-го порядка:

записывать:

INSERT INTO posts (userID,text,date) VALUES(?,?,?)

читать:

SELECT * FROM posts WEHRE userID=?

удалять:

DELETE FROM posts WHERE userID=?