Questo codice è sicuro da SQL injection?
$search = $_GET ['search'];
$query = $db->prepare("SELECT COUNT(*) AS num FROM table WHERE MATCH (id,keywords) AGAINST ('$search*' IN BOOLEAN MODE)");
$query->execute();
UPDATE: Secondo la risposta qui sotto ho cambiato il mio codice e ora è:
$search = $_GET ['search'];
$tbl_name = 'my_table_name';
$query = $db->prepare("SELECT COUNT(*) AS num FROM $tbl_name WHERE MATCH (id,keywords) AGAINST (:search IN BOOLEAN MODE)");
$query->bindValue(':search', $search . '*', PDO::PARAM_STR);
$query->execute();
Grazie