FanatPHP

Следует отметить, что у этого класса очень много других проблем.

1. Статическая функция для коннекта это картннный буратино, который никакой полезной функции не выполняет, а выполняет только вредную, каждый раз заново соединяясь с базой дынных. Надо хотя бы проверять, еслть ли уже соединение, и возвращать его.
2. prepare с пустым execute - это картннный буратино, который никакой полезной функции не выполняет, а выполняет только вредную, пропуская все инъекции на свете. В prepare надо передавать запрос с плейсхолдерами, а execute массив с переменными для замены.
3. echo "Ошибка соединения с БД: " - это это картннный буратино, который никакой полезной функции не выполняет, а выполняет только вредную. Пользователь из сообщения об ошибке ничего не поймет, а программист о ней ничего не узнает. Для вывода ошибок try должен быть один, глобальный, и выводить их в зависимости от окружения - на домашнем компике можно вываливать прямо на экран, а на боевом сервере только логировать.
4. Пользователь - это не база данных. Поэтому наследовать классу БД он не должен. и уж тем более нет ни малейшего смысла наследовать класс со статическими методами. Объект для работы с БД надо передавать в конструктор и присваивать переменной класса. Либо если это тупой синглтон, то ничего вообще не передавать, а просто вызывать его методы где надо, хотя это неправильно.

Подробне читать здесь (можно через гуглопереводчик)
https://phpdelusions.net/pdo/common_mistakes
https://phpdelusions.net/articles/error_reporting

Базовые принципы на то и базовые, что не меняются со временем. Я бы только переформулировал немного по-другому,

• Данные подставляем в запрос только через плейсхолдеры
  
• Все остальное - только после проверки через белые списки
  

И еще бы добавил что эти правила должны соблюдаться безусловно, в 100% процентов случаев, без рассуждений типа "вот эти данные у нас безопасны, их можно не защищать".

Если же говорить о тенденциях, то с чистым SQL сейчас никто практически не работает. 95% запросов выполняются через ORM. Т.е. вместо

$stmt = $pdo->prepare("SELECT * FROM user where id = ?");
$stmt->execute([$id]);
$user = $stmt->fetch();

пишем просто
$user = User::find($id);
при этом защита уже вшита у ORM внутри и думать о ней не надо

Ну а если надо сделать более сложный запрос, то опять же, есть развитые Квери билдеры, у которых защита также уже встроена. И только в редчайших случаях нужно писать чистый SQL, и только тогда нужно вспоминать про ручную защиту от инъекций.

Не надо ни в чем убеждаться.

Эти бессмысленные телодвижения, которые так любят пользователи похапе - тяжелое наследие царского режима и видеокурсов "Начни грести бабло за 3 урока".

Ни одна нормальная программа не занимается такой ерундой, как проверка каждого несчастного запроса на ошибки, и не начинает причитать "ой, у нас такой-то запрос сломался" если ошибка произошла.

Не надо ни в чем убеждаться. Не надо смотреть ни на какие ошибки запросов.
Надо ПРОСТО сказать пользователю, что все хорошо, без всяких условий. Ошибки, если будут, обрабатываются совсем в другом месте.

Если $users приходит из БД, то получать пользователей тем же запросом, используя JOIN.

Ecли же приходит со стороны, делать как в ответе Arris , но только не пихать айдишники прямо в SQL, а использовать параметризованный запрос, https://phpdelusions.net/pdo#in

Ну, то что это адова жесть, уже все сказали.
Но я логики понять не могу. В чем профит?
Сравниваем код на этом адском поделии

$allData=$Kernel->getRecords($GLOBAL->Table,array(
  "where"=>"`Type`='Some' AND`Status`='Y'",
  "order"=>"`Position`",
  "sort"=>"Id"
));

И код на чистом PDO/SQL

$allData = $pdo
    ->query("SELECT * FROM $GLOBAL->Table WHERE `Type`='Some' AND `Status`='Y' ORDER BY `Position`")
    ->fetchAll();

В ЧЕМ ПРОФИТ?
Какой смысл разбивать SQL на массив и писать по отдельности, когда можно просто сразу написать нормальный SQL?

Ну и про безопасность тут уже все сказали. Я не знаю, за какой "безопасности" тут речь, но вот тут

$Kernel->query($GLOBAL->Table,array(
  "type"=>"insert",
  "set"=>"`Variable1`='{$data1}',`Variable2`={$data2}"
));

инъекция на инъекции и инъекцией погоняет.

Интересно, что, функция твоего начальника не так плоха. Он только не умеет пользоваться PDO и не знает что эту функцию можно сделать в 100 раз проще, без кучи ненужных параметров. Но в целом она довольно осмысленная и безопасная. И в ней нет global. В отличие от твоего собственного кода.

Вот твой второй запрос с использованием его функции:

$Database->Query("INSERT INTO $GLOBAL->Table SET `Variable1`=?',`Variable2`=?", [$data1, $data2]);

это четкий, ясный и безопасный код.
Внимание, снова вопрос: НАФИГА?
ЗАЧЕМ ты нагородил вот это вот всё, если оно в 100 раз хуже чем было?

Практика - критерий истины.

Сделай такую таблицу, а потом попробуй вывести все комментарии под статьей или ленту последних постов на сайте.

Запрос - какая-то адская фантасмагория. Нахрена здесь джойн, если из а берется только ид, который равен b.meta_value? Я уже не говорю про джойн с селектом и груп бай.
Такое ощущение, что запрос писал сумасшедший под веществами в состоянии белой горячки.

все что здесь нужно - это

SELECT SQL_CALC_FOUND_ROWS b.id, b.meta_name, b.meta_value
FROM b WHERE b.meta_name = '***'
ORDER BY b.meta_value DESC
LIMIT 0, 20;
SELECT FOUND_ROWS()

После объяснений в комментах стало понятно, что нам нужен подзапрос

SELECT SQL_CALC_FOUND_ROWS a.id, 
(SELECT b.meta_value from b where b.meta_name=a.id order by b.id limit 1) as lastprice
FROM a LIMIT 0, 20

Нельзя.

В mysqli нет никаких колонок вообще. Это API, набор функций PHP. Его используют самые необучаемые пхпшники, которых отлучили от mysql_query, и которые не сумели освоить ничего более прогрессивного.

Колонки же есть в БД, которая называется mysql.

Объясняю:
Это не "PDO имеет подключение", а пользователь БД имеет доступ.
Если указанный при подключении пользователь имеет доступ к некоторой БД, то мы можем выполнять запросы к ней.

Отсюда можно сделать вывод: Если указанный при подключении пользователь имеет доступ к обеим БД, то такой запрос никакой не извращение, а совершенно стандартный SQL.
Если же доступ есть к только одной БД, то запрос не пройдет. Опять же, не из-за своей нестандартности, а по банальной причине отсутствия доступа.

А уж чрез PDO ли мы подключаемся, или через консоль - это уже без разницы.

Как всегда, милилон ответов, все не в кассу.

Правильный ответ - завернуть запросы в транзакцию.
Все остальные правки в коде не имеют отношения к принципиальному ускорению, и сделаны только затем, чтобы код выглядел не так позорно.

mysqli_report(MYSQLI_REPORT_ERROR | MYSQLI_REPORT_STRICT);
$link->begin_transaction();
$stmt = $link->prepare("UPDATE `price` SET `price`=? WHERE `name`=?");
$stmt->bind_param("ss", $price, $name);
foreach ($jsondate as $k => $value) {
    foreach ($value as $bo) {
        $name = $bo['name'];
        $price = $bo['price'];
        $stmt->execute();
    }
}
$link->commit();

https://github.com/auraphp/Aura.SqlQuery
www.notorm.com
тысячи их

Для mysqli порекомендую свою SafeMysql
Если запрос не надо собирать динамически, то код получается куда проще , читабельнее и гибче, чем с любым билдером. Попробуйте к примеру выполнить через fluenpdo запрос insert ignore или on duplicate