Как правильно выполнить произвольный SQL запрос к базе

В любом месте PHP кода вы можете использовать встроенные в движок методы класса DB для работы с базой.

<?php
$res=DB::query("SELECT * FROM ".PREFIX."product WHERE price > 1000");

while($row=DB::fetchAssoc($res)){
  viewData($row);
}

?>

Защита запросов

Обязательно защищайте все составные части запроса от SQL инъекций.

<?php
$sqlPart = $_GET['value'];
$res = DB::query("SELECT * FROM ".PREFIX."product WHERE title LIKE '".$sqlPart."'"); // неправильно
$res = DB::query("SELECT * FROM ".PREFIX."product WHERE title LIKE ".DB::quote($sqlPart)); // правильно
?>

Если в запрос передается Int переменная

<?php
$id = '$_GET['value']; // int
$res = DB::query("SELECT * FROM ".PREFIX."product WHERE id = '".$id); // неправильно
$res = DB::query("SELECT * FROM ".PREFIX."product WHERE id= ".DB::quote($id)); // неправильно
$res = DB::query("SELECT * FROM ".PREFIX."product WHERE id= ".DB::quoteInt($id)); // правильно
?>