si infatti c'ero appena arrivato

per quanto riguarda la sintassi errata va meglio così?

codice:
$category = $_GET['id_cat']; 
 $articolo = $_GET['id'];  

$query = "SELECT id, category_id, title FROM article                  
             WHERE category_id ='$category' AND id != '$articolo' AND CURRENT_TIMESTAMP( )            BETWEEN pubblication_date AND pubblication_end ORDER BY id DESC LIMIT 0 , 30";

sicurezza...non passo i dati via form...devo dare una lettura sulle sql injections?