sprintf vil ikke beskytte dig! Den erstatter kun %s
du skal mysql_real_escape_string så:
$sql = sprintf('SELECT * FROM TABLE WHERE COL1 = "%s" AND COL2 = "%s"',
mysql_real_escape_string($col1),
mysql_real_escape_string($col2));
er sikrere injektion
bemærk:Jeg foreslår, at du tager et kig på PDO , det er det, jeg kan lide at bruge til DB-forbindelser og forespørgsler