Pas de chaîne évaluée dans une requête SQL / injection SQL
function set_loan_to_returned($pdo, $id) {
$sql = "UPDATE LOW_PRIORITY pret SET status = '".STATUS_LOAN_RETURNED."', retour = CURRENT_DATE WHERE id = $id;";
On ne met donc pas de " et les variables sont passées via ? et elles sont remplacées automatiquement lors du execute.
On évite ainsi l'injection de SQL.