Si si pienamente d'accordo. Infatti puntavo proprio a quello, ad una considerazione sul "grado di sicurezza" del codice qui utilizzato.

Penso che potrebbe andare.

Ho fatto semplici "test xss" e quando si inseriscono tag script o php i caratteri nella barra dell'URL vengono trasformati per mano (di sicuro) della funzione htmlentities.

Senti tu come gestisci gli errori delle query?

..nel senso..

Sono io che sono supermega paranoico a mettere sotto ogni query inviata al db, un if (!$query) { ... } oppure è pratica "comune" tra noi?