uso las consultas "prepare" que tengo entendido ayudan a prevenir las inyecciones SQL, ahora bien también escuche que no es recomendable por este tema concatenar datos a una consulta.
No estoy del todo seguro si en este caso existe una vulnerabilidad de inyección:
Código
class x { static function Consulta($x, $y) { $con = Connection(username, password); $query = $con->prepare('SELECT x_campo, y_campo FROM x_tabla WHERE '.($x).' = '.($y)); $query->execute(); $results = $query->fetchAll(); return $results; } }
aclarar que tanto los parametros $x, como $y son constantes y no son datos que el usuario envía, un ejemplo:
Código
$datos = x::Consulta('id_user', 61); // son constantes, no datos que un usuario ingresa