No son muchas las recomendaciones que se pueden dar sobre el tema, pero tu forma de trabajar (a mi entender) esta bien, una recomendación mas es nunca usar una variable que viene por GET, POST o COOKIE's directamente en una consulta a ld DB. Uno de los errores que más he visto es cuando realizan un paginador para los resultados los valores numericos no son verificados y son usados directamente en una consulta, nosé si puede dar grandes problema, pero seguramente te cambiaran el numero con algo mas y sacaran datos sobre tu DB a traves de los errores. Para esto existen funciones como puede ser settype() y demas, manipular los errores y no dejar mostrarlos al usuario.

Saludos y suerte.