Hi,

erstmal würd ich diese Variable prüfen, denn so ungesichert sollte keine in eine MySQL-Abfrage gelangen.
Da hast du natürlich recht, die
if (!isset($_GET...
habe ich heraus gelassen,

Was hast du noch herausgelassen? Wenn du die kontextgerechte Behandlung dieses Wertes vergessen hast, dann ist MySQLi höchstens in der Hinsicht "sicherer", was die Übergabe externer Werte angeht, als das eben die kontextgerechte Behandlung entfällt, wenn man Prepared Statements benutzt.

Die Frage ist wirklich wie ich die MYSQLi Abfrage aufbaue

Wenn du wirklich Prepared Statements meintest - dann erstellst du ein Statement, bindest über prepare die Parameter daran, führst es mittels execute aus - und schaust dann an, was du zurückbekommst.

MfG ChrisB