$query = 'SELECT EX1 AS date,rate FROM rates WHERE
PARAM1="' . $param1 . '" and param2="' . $param2 . '" ORDER BY date DESC LIMIT 1';
$ param1 уязвим для SQLI - но есть проблема: запрос не выполняется, потому что rates не существует - возможно ли вставить другой запрос, например: DROP TABLE `users, после запроса -даже если первое не выполнится?