Devi anche scappare nella seconda query. MySQL non esegue alcun escape sul suo output.
Risposta lunga:l'escape della stringa MySQL non modifica la stringa che viene inserita, ma solo assicura che non danneggi la query corrente . Qualsiasi tentativo di iniezione SQL rimane ancora nei dati.
