Hast du schon darüber nachgedacht, Prepared Statements zu verwenden?

Ist auch möglich, ebenso wie Raw-Querys.

Wie sollen denn deine Statements zusammengebaut werden? Wo kommen die einzelnen Teile der Query her?

Ich rufe zum Schreiben, Ändern, Löschen entsprechende Methoden auf.

[code  lang=php]
$db->read_array($Tabelle, $Spalten, $Where, $Order, $Limit, $Key);
[/code]

Dabei sind die Parameter teilweise optional. $Key wird, wenn angegeben der Schlüssel im zurückgegebenen Array, wird $Key nicht angegeben, bleiben die nurmerischen Indizes aus Mysql erhalten.

Und da z.B. $Where ein NOT NULL, LIKE oder sonstige Schlüsselwörter  enthalten kann, muss ich das erkennen, bevor ich $Where durch mysql_real_escape_string schiebe.

Ob das performant genug ist, muss ich erst noch probieren, aber das System an sich funktioniert gut. Der Vorteil, man muss nicht Querys für jede Datenbank erzeugen sondern das übernimmt die Methode für den Programmierer. Das Ganze ist Teil einer API für mein Framework/CMS