Hola,
Cita:
Iniciado por morpheus747
... el problema con esto es que dudo de su "SEGURIDAD" al momento de procesar el temita
yo creo que es muy propenso a sql injection ....
"SELECT ... WHERE algo = ?"
$temp = "%$algo%";
bind_param('s', $temp);
ó
bind_param('s', sprintf("%%%s%%", $algo));
Haciendo el reemplazo que hiciste 'de otra manera' sí existe la posibilidad. Usando 'prepared statement' con 'bind param' correctamente no debería existir 'sql injection' (aunque va a depender de la implementación de mysqli, y la probabilidad es muy baja).
Saludos,