Как я делаю с $_SESSION['userid']
здесь:
function changeEmail($newEmail){
$stmt = $mysqli->prepare("update `users` set `email`=? where `userid`={$_SESSION['userid']} limit 1");
$stmt->bind_param('s',$newEmail);
return $stmt->execute();
}
Так как: значение $_SESSION['userid']
генерируется из базы данных (через целое число auto_increment), поэтому нет риска инъекции SQL. Кроме того, я предполагаю, что объединение значения немного быстрее, чем связывание.