Вопрос по безопасности SQL-запросов

{} это просто вариант вставки переменных при использовании двойных ковычек,
если 100% уверен какого типа значения будут в переменных обрабатывать их нет смысла, лучше юзай как посоветовали выше PDO или какой-нибудь другой query builder это во-первых и удобней во-вторых безопаснее
 
Если переменная заведомо должна быт числовой, то можно использовать intval или (int). Добавить еще проверку $user>0.
Если используется строка - то там экранировать надо уже.
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху