MySQL lekérdezés megvalósítása PHP-ban

Arra gondolsz, hogy pl így ne csináljunk?

'SELECT * FROM tabla WHERE feltetel = "'.$valami_string_user_input.'"

Akkor az igaz, mert így bármit bele tud irni a kedves user a feltételek közé.

Helyette használhatsz prepared statementet:
http://hu.php.net/manual/en/mysqli.prepare.php

Vagy egyéb külső adatbázis rétegeket, amiket általában a keretrendszerek tartalmaznak.

Például:

konkrétabban kifejthetnéd mit értesz sztring-műveletek alatt?

sztring művelet sok esetben azért kell egy rendszernél, mert nem megfelelően találták ki a táblaszerkezeteket.

PL: userek elmentett kategóriáit ha vesszővel elválasztott listával és így egy vegyes mezőtípusba tárolsz, akkor szükséges az utólagos PHP hardcodolás.
Gondolom ilyenre gondolhatsz.

A PHP és MySQL témákban már sok lenéző hozzászólást találtam a string-műveletekkel előállított lekérdezésekre. Ki milyen formát használ erre és miért? Értem ezalatt a biztonságot, újrahasznosíthatóságot, stb.