Yo personalmente uso declaraciones preparadas.
¿Por qué es importante?
Bueno, es importante debido a la seguridad. Es muy fácil hacer una inyección SQL en alguien que usa variables en la consulta.
En lugar de utilizar este código:
$query = "SELECT username,userid FROM user WHERE username = 'admin' ";
$result=$conn->query($query);
para utilizar este
$stmt = $this->db->query("SELECT * FROM users WHERE username = ? AND password = ?");
$stmt->bind_param("ss", $username, $password); //You need the variables to do something as well.
$stmt->execute();
Más información sobre las declaraciones preparadas en:
http://php.net/manual/en/mysqli.quickstart.prepared-statements.php MySQLI
http://php.net/manual/en/pdo.prepared-statements.php DOP
No sabemos lo envoltorio de base de datos que está utilizando, pero lo que uno es, su manual está garantizado para tener un ejemplo para esto mismo, cosa muy básica. No está destinado a ser grosero, pero tomar ese camino es realmente preferible aquí. Votando para cerrar. –
Estoy usando MySql. –