mysql_real_escape_string di solito è sufficiente per evitare l'iniezione SQL. Ciò dipende dal fatto che sia privo di bug, ad es. c'è qualche piccola possibilità sconosciuta che sia vulnerabile (ma questo non si è ancora manifestato nel mondo reale). Un'alternativa migliore che esclude completamente le iniezioni SQL a livello concettuale è dichiarazioni preparate . Entrambi i metodi dipendono interamente dalla loro applicazione corretta; cioè nessuno dei due ti proteggerà se lo incasini semplicemente comunque.
