Questo risponde bene:
- mysql_real_escape_string() rispetto alle dichiarazioni preparate di Ilia Alshanetsky
Quindi, per essere più sicuri, non fare affidamento su mysql_real_escape_string da solo, l'utilizzo di istruzioni preparate è molto meglio.
