лучше использовать подготовленные операторы, чем метод, который вы приняли, плюс плюсы использования подготовленных операторов, таких как PDO, это избавит вас от атак, таких как инъекции MYSQL, и их намного больше, в основном PDO - встроенный PHP класс, который позволяет вам легко взаимодействовать с вашей базой данных, плюс он очень гибкий, например,
Чтобы установить соединение с помощью PDO, вам просто нужно использовать одну строку кода, это все равно, что инициализировать объект.
$dbh = new PDO('mysql:host='.HOST.';dbname='.DATABASE,USERNAME,PASSWORD);
вот и все, пожалуйста, обратите внимание, что я использовал Constant, вы можете заменить его на свой собственный.
Теперь, например, если вы хотите выбрать что-то с помощью PDO, вам просто нужно написать одну строку кода.
$sth = $dbh->query('SELECT id,name FROM table');
//Query is executed in the above code, and when you want to retrieve the value you just need another line of code.
$result = $sth->fetchAll(PDO::FETCH_ASSOC);
Вот и все, теперь у вас есть массив $ result, который содержит все найденные значения. разве это не очень просто и удобно?
Чтобы начать работу с PDO, посмотрите этот учебник в net.tutsplus.com
они объяснили это очень хорошо.