mysql_real_escape_string
är vanligtvis tillräckligt för att undvika SQL-injektion. Detta beror dock på att det är felfritt, dvs. det finns en liten okänd chans att den är sårbara (men detta har inte visat sig i den verkliga världen ännu). Ett bättre alternativ som helt utesluter SQL-injektioner på konceptuell nivå är prepared statements . Båda metoderna beror helt på att du tillämpar dem korrekt; dvs ingen av dem kommer att skydda dig om du bara förstör det ändå.