è corretta.... solo che io non userei valori arrivati direttamente da una form in una query... sai, la storia delle sql injection