Li aqui em algum lugar que o uso de instruções preparadas no DOP torna seu aplicativo imune apenas a injeções de SQL de primeira ordem, mas não totalmente imune a injeções de segunda ordem.

Minha pergunta é: se usamos instruções preparadas em todas as consultas, incluindo consultas SELECT e não apenas na consulta INSERT, como é possível uma injeção sql de segunda ordem?

Por exemplo, nas consultas a seguir, não há chance de uma injeção de segunda ordem:

Escreva:

INSERT INTO posts (userID,text,date) VALUES(?,?,?)

ler:

SELECT * FROM posts WEHRE userID=?

excluir:

DELETE FROM posts WHERE userID=?