プレースホルダ(place holder)はplace folderではない
データベースにSQL文を発行する際はSQLインジェクション攻撃の対策としてプレースホルダとバインド変数を用いるのが常ですが、プレースホルダのholderをfolderと勘違いしてました。
・・・ただそれだけ。
エクスブリッジのsomfaを使うと次のような感じになる。
$sPlaceHolder = 'user_id = ?';
$aBind = array($vo->user_id);
$aRecordset = $objSomfa->select('tbt_user', '*', $sPlaceHolder, $aBind);