sprintfはあなたを保護しません! %s
を置き換えるだけです
mysql_real_escape_stringである必要があります:
$sql = sprintf('SELECT * FROM TABLE WHERE COL1 = "%s" AND COL2 = "%s"',
mysql_real_escape_string($col1),
mysql_real_escape_string($col2));
より安全な注射です
注:PDO をご覧になることをお勧めします。 、それは私がDBconectionsとクエリに使用するのが好きなものです