Всем доброе утро, подскажите пожалуйста как защитить подобный код от sql injection ? 
static public function getTopMovies($count=20){
$sql="SELECT * FROM `table` ORDER BY `id` DESC limit ".intval($count);
$t=Yii::app()->db->createCommand($sql)->queryAll();
return $t;
}
Насколько я знаю intval преобразует не числовые значения в 0, так что если юзер в #count попробует передать ; delete from …
то получится LIMIT 0
Так что код защищен, вроде бы, поправьте, если я не прав.
С этим кодом нельзя сделать injection, но я бы всё-таки использовал тут параметры…
Ок, спасибо, понял 