本人新手，在《PHP安全编码》中提到“不要直接使用$_GET”，同时又提到“可以尝试在php.ini中开启magic_quotes_gpc，这样对于所有由用户GET、POST、COOKIE中传入的特殊字符都会转义”，我很纠结，是否开启magic_quotes_gpc就可以直接使用$_GET？
如下面例子中的代码本人感觉很不安全，因为没有做验证，但又不知道如何改进，希望大神能帮忙，谢谢。
$name=$_GET["name"];
$user=$_GET["user"];
mysql_query("SELECT$nameFROM$user");