Dovresti controllare che i campi che hanno fornito siano in un elenco/array di campi in cui consenti la ricerca. Aggiungi backtick attorno ai nomi dei campi nella query solo per essere più sicuro. Fare entrambe le cose impedirà qualsiasi iniezione attraverso quelle variabili.
