Sanityzacja WHERE LIKE w PHP

Question

Cześć. Mam taki problem. Chciałbym wyciągnąć dane wszystkich użytkowników, których nazwy zaczynają się od liter, które wpisał użytkownik. Jednak wszelkie poradniki jakie widziałem, pokazywały, to w ten sposób, że po prostu doklejano to do zapytania SQL, np. w ten sposób:
 

$query = "SELECT * FROM projectitem WHERE (description LIKE '%$keywords%' OR item LIKE '%$keywords%')";

Zgaduję jednak, że nie jest to najbezpieczniejsze wyjście. Próbuję zrobić to w ten sposób:
 

mysqli_query($connection, sprintf("SELECT id, username, lastlogin from users WHERE username LIKE 's%%'", 
        mysqli_real_escape_string($connection, $searchName)))

ale wtedy wypisuje po prostu wszystkich zaczynających się od litery S

Answer 1

https://www.php.net/manual/en/mysqli-stmt.bind-param.php

Preparacja danych SQL.

Wiązanie parametrów.