سلام پیشنهاد میدم از pdo استفاده کنید و از named placeholder خیلی بهتر هست البته باری امنیت کارهای دیگری هم هست حالا نمیدونم این api شما چه تمهیداتی رو نیاز داره مثل authorisation کاربر که هر کسی نتونه به اطلاعات دسترسی داشته باشه و شاید هم مسایل دیگر که بایست ببینیم منطق برنامه چی هست .