prepare

Всем привет. Помогите, пожалуйста, разобраться в корректности кода. 1. там ли htmlspecialchars и он ли должен быть для экранирования? 2. синтаксические ошибки в написанном prepare()? function insert($name, $desc, $year, $rating, $poster, $category_id) { $mysqli = new mysqli('localhost'...