das ist wohl das einfachste, dann kann immerhin jeder "nur" etwas inserten. Nimmst einfach einen Parameter für das Kommando in dessen Abhängigkeit du dann aus weiteren Parametern das SQL-Statement zusammenbaust. Dabei ist noch wichtig das du sicher stellst das Parameter die du als Integer erwartest auch wirklich Integer sind (z.B. mit settype) und Strings vorher mit mysql_escape_string so aufbereitest das kein Code eingeschleust werden kann.