De andre svar, der bruger sammenkædning, er de simple. Det bedste er at bruge forberedte sætninger, som vil gøre din kode væsentligt mere sikker.
$insert = "INSERT INTO " .$new_table. " VALUES(?, ?, ?)";
$q = mysqli_prepare($db, $insert);
mysqli_stmt_bind_param($q, "iss", $ID, $Partner, $Merchant);
mysqli_stmt_execute($q);
Udførelse af parametriserede forespørgsler betyder, at din forespørgsel og data sendes separat. Det betyder, at strukturen af forespørgslen allerede eksisterer, og derfor ikke kan ændres af noget andet, der er indsat i dataene, hvilket betyder, at du er sikker fra SQL-injektion.
Se PHP-manualen: