Полностью согласен про подготовленные выражения — сначала кажется, что это лишняя морока, но реально избавляет от кучи проблем потом, особенно с инъекциями. Ошибка с прямой вставкой переменных в запросы — классика для новичков, и часто из-за этого потом приходится долго лечить баги и прятать дыры. С mysqli и PDO лучше сразу привыкать работать через prepare, это экономит нервы и время.