SQL 语句的正确姿式

<?php
 
//不安全的写法举例1
 $_GET['id']=8;//但愿获得的是正整数
 $data=M('Member')->where('id='.$_GET['id'])->find();
 $_GET['id']='8 or status=1';//隐患:构造畸形查询条件进行注入;
           
 //安全的替换写法
 $data=M('Member')->where(array('id'=>$_GET['id']))->find();//使用数组方式将自动使用框架自带的字段类型检测防止注入
 $data=M('Member')->where(array('id'=>(int)$_GET['id']))->find();//类型约束
 $data=M('Member')->where('id='.intval($_GET['id']))->find();//类型转换
 $data=M('Member')->where(array('id'=>I('get.id','','intval')))->find();//本人习惯写法
 $data=M('Member')->where(array('id'=>':id'))->bind(':id',I('get.id'))->select();//PDO驱动可使用参数绑定
 $data=M('Member')->where("id=%d",array($_GET['id']))->find();//预处理机制
           
 //不安全的写法举例2
 $_GET['id']=8;//但愿获得的是正整数
 $data=M()->query('SELECT * FROM `member` WHERE  id='.$_GET['id']);//执行的SQL语句
 $_GET['id']='8  UNION SELECT * FROM `member`';;//隐患:构造畸形语句进行注入;