compresa la cancellazione del DB
Smentisco... in mysql non si possono usare le multi query. Sintassi come:
select * from table where id='{$_GET[id]}'

Dove ?id=1; DROP DATABASE nomedb;

Non è possibile.

E' possibile utilizzando $mysqli->multi_query. Ammesso è concesso che sei root o hai privilegi per usare il comando (ma da un codice di quel tipo dubito fortemente che sia un server configurato personalmente).

Però concordo sull'utilizzo di statment perchè anche se non possono cancellare il database nulla vieta di rubare le credenziali d'accesso.