Если у вас в запросе много параметров в какой-то момент, может быть лучше использовать именованные параметры, чтобы вы могли лучше их отслеживать.
вая следующий запрос (в коде НЕ хранимая процедура); как добавить параметры в запрос, а не включать значения условий непосредственно в запрос? Другими словами: как я могу сделать этот вызов базы данных безопасным?
$dbhandle = mssql_connect($myServer, $myUser, $myPass);
$selected = mssql_select_db($myDB, $dbhandle);
$query = "SELECT lastname, firstname, address, phone, email ";
$query .= " FROM person";
$query .= " WHERE lastname LIKE '" . $lastName . "'";
$result = mssql_query($query);
while($row = mssql_fetch_array($result)) {
... etc.