создание динамического запроса

[Boris]

Добрый день!
Подскажите на сколько безопасно и правильно делать запрос в таком виде:
использую mysqli , так в проекте с начала разработки.
У меня есть две переменные тип товара и его артикул
Тип товара всегда присутствует, а вот артикул нет.
Если переменная $id_articl существует isset и не пустая !empty то создаю строку в таком виде

$str_select_product = " and article_product LIKE '%".mysqli_real_escape_string($link,$id_articl)."%'";

и добавляю ее к строке запроса

$sql_select_products = "
                    SELECT *
                    FROM table
                    WHERE name_product = ".mysqli_real_escape_string($link,$product_name).$str_select_product;

Спасибо за Ваши ответы

 

[fixxxer]

http://phpfaq.ru/mysql/slashes

 

[Boris]

http://phpfaq.ru/mysql/slashes

)кавычки поставил ,
mysqli_real_escape_string использовал
что то упустил? )
на самом деле еще вопрос , правильно использовать функцию
mysqli_real_escape_string в строке а потом строку подставлять к запросу?

 

[fixxxer]

http://phpfaq.ru/mysql/slashes#like

 

[Boris]

http://phpfaq.ru/mysql/slashes#like

все все спасибо я понял про кавычки и про like
ответьте пожалуйста на этот вопрос
на самом деле еще вопрос , правильно использовать функцию
mysqli_real_escape_string в строке а потом строку подставлять к запросу?
это никак не может повлиять на сам смысл функции mysqli_real_escape_string

спасибо Вам еще раз за время и ответы

 

[fixxxer]

от перестановки мест слагаемых сумма не меняется

 

[AnrDaemon]

правильно использовать функцию
mysqli_real_escape_string

Нет, неправильно.
Правильно - использовать подготовленные выражения.