Подготовленные выражения

<?php const HOST = 'localhost'; const USER = 'mysql'; const PASS = 'mysql'; const DBNAME = 'test'; const TABLE_USERS = 'users'; $id = 6; $d_id = 3; $connect = new mysqli(HOST,USER,PASS, DBNAME); // делаем подключение к базе. $connect это объект подключения $query = $connect -> prepare("select name from ".TABLE_USERS." where id = ? and d_id = ?"); // подготавливаем запрос. вместо вставляемых значений пишутся знаки ? - плейсхолдеры. Метод prepare() объекта $connect осуществляет подготовку запроса $query -> bind_param('ii', $id, $d_id); // подставляем переменные в подготовленное выражения с помощью метода bind_param. Первым аргументом является тип вставляемых значений (i - целые числа, s - строки). Количество символов в первом аргументе равно количеству подставляемых переменных. второй и последующие аргументы метода bind_param - это подставляемые переменные $query->execute(); // метод execute выполняет запрос ; while($query->bind_result($name)){ $html .= $name.'<br>'; } // bind_result($name) подставляет полученный результат в какие-то переменные для последующего вывода (или что еще вы с ними делать будете) ?>