sprintf zal je niet beschermen! Het vervangt alleen de %s
je moet mysql_real_escape_string dus:
$sql = sprintf('SELECT * FROM TABLE WHERE COL1 = "%s" AND COL2 = "%s"',
mysql_real_escape_string($col1),
mysql_real_escape_string($col2));
is veiliger injectie
opmerking:ik raad je aan een kijkje te nemen op BOB , het is wat ik graag gebruik voor DBconnections en queries