Спасибо, что просветили меня, что такое экранирование, и зачем оно нужно
Я согласен, что в конкретном случае экранирование хэша не имеет эффекта. Но я не делаю особых различий между этим случаем и случаем следующим:
допустим у нас есть скрипт, который берет введенный пользователем юзернейм и удаляет прямо на входе из него всё, что не [a-z0-9]. В этом случае мы тоже можем не экранировать кавычки, потому что они все равно не пройдут этот фильтр. Но, если у нас со временем поменяется логика приложения и мы, например, разрешим использовать кавычки, это приведет к тому, что в базу может просочиться бяка.
Поэтому я и предпочитаю отделять мух от котлет, и, возможно, сделал бы это даже в случае с md5. Хотя это персональное дело каждого.
Стало понятней, о чем я говорю?
ПС: благо плейсхолдеры в PDO особо не интересуются происхождением и областью значений строковых данных, и не делают никаких поблажек.
ППС:
Во-первых при смене типа криптования вообще придется все хеши в базе менять.
Как я и говорил, при смене хекс-мд5 на бинарный достаточно сделать:
php: md5(?) -> md5(?, true);
mysql: update users set passwd = unhex(passwd);
а места формирования запросов, увы, остаются уязвимыми.
