En terminos de seguridad siempre es bueno enviar los datos con una codificacion a gusto a una pagina que decodifique los datos, los valide y los guarde antes que enviarlos enduro a la base de datos, todo esto porque imaginate que lo dejes directo a tu mysql y te envien algo como: "' OR 1=1'";

Lo que podria terminar en 2 cosas:
1.- Te muestre todos los datos de la tabla o,
2.- Te arroje un error mostrando de que tabla estamos hablando y ahi se pone peor incluso :P

Por seguridad siempre usa el camino con mas piedras!

Suerte!