Я не знаю точно, как озаглавить этот вопрос, однако мне стало известно о рисках внедрения SQL, и я модифицирую запрос, чтобы использовать подготовленный оператор.
В исходном запросе я передавал массив идентификаторов для поиска в БД следующим образом:
AND item.id IN ($ids)
где например
$ids = "35,36,69,73,98,218,219,234,242";
Теперь я изменил запрос и поместил эти данные в $params следующим образом:
$params = [':ids' => $ids ];
и изменил строку в запросе:
AND item.id IN (:ids)
поэтому я выполняю запрос следующим образом:
$query->execute($params);
Однако, выгрузив $query, я могу видеть, что идентификаторы не передаются, а вот что проходит вместо:
IN (:ids)
Так что, очевидно, ничего не найдено.