>>212
すみません、既に読んでます。
お尋ねしたいのは以下の2点です。

・プリペアードステートメントを使えば、SQLインジェクションの対策としては完璧ですか?

・SQLインジェクションを防ぐ方法はプリペアードステートメントを使うのが良いのはわかりますが、
 htmlspecialcharsを使う方法が代わりにならない理由は何ですか?
 (数値が期待される部分では、その部分に用いる値をintval()で数値化する方法もダメですか?)