Я бы сказал, что вы делаете это достаточно осторожно.Однако в большинстве случаев правильным способом было бы создать переменную, такую как $ id, и присвоить ей значение вашей переменной post.Это связано с тем, что многим разработчикам приходится работать с шаблонами, а в качестве программиста на PHP ваша задача будет заключаться в том, чтобы извлекать / получать входные данные и строки базы данных, а также делать их доступными для шаблонов в виде простых для доступа переменных и массивов.* Ваш пример делает ваш скрипт безопасным, когда вы ожидаете числовой идентификатор.Если вы ожидаете строку, которая обычно используется в операторе SQL, вам нужно будет предпринять дальнейшие шаги.Даже самая чистая строка может быть использована для SQL-инъекции.Вот где должны использоваться подготовленные заявления.
http://www.php.net/manual/en/mysqli.prepare.php
http://www.php.net/manual/en/class.mysqli-stmt.php