Как выводить данные из бд с условие в php? [закрыт]

$query = "SELECT * FROM messages WHERE id_user2 = '" . $user_id2 . "' OR id_user1 = '".$user_id . "' ";
$message = mysqli_query($mysqli, $query);

Но обратите внимание на то, что сформированный таким способом sql-запрос подвержен уязвимости, известной как sql-инъекция (sql-injection). Значения переменных могут содержать такие данные, что после контактации c ними, результирующая строка в переменной $query будет содержать нежелательную sql-команду.

Одним из способов борьбы с sql-инъекциями, является использование подготовленных запросов (описание).

Вот переписанный пример запроса, с использованием подготовленного запроса (обработка ошибок опущена для краткости, только суть):

$query = "SELECT * FROM messages WHERE id_user2 = ? OR id_user1 = ?";
$stmt = mysqli_prepare($mysqli, $query);
mysqli_stmt_bind_param($stmt, "ii", $user_id2, $user_id);
mysql_stmt_execute($stmt);
$message = mysqli_stmt_get_result($stmt);

UPD: дополнен / изменен в ответ на комментарий @Ипатьев