Eso es inseguro, tiene un riesgo enorme de consultas fallidas y mysql injection, ¿porque no formateamos los datos antes de mandarlos a la base de datos?

Con todos.