mysqli_real_escape_string deve essere a conoscenza del set di caratteri della connessione in modo che possa eseguire correttamente l'escape dei caratteri speciali. Se usi un set multi-byte, mysqli deve sapere. Altrimenti è possibile una sql injection
. Vedi questa risposta
per maggiori dettagli.
Tuttavia, non usarlo! Usa Dichiarazioni preparate !
