mysqli_real_escape_string måste vara medveten om anslutningens teckenuppsättning så att den kan undvika specialtecken ordentligt. Om du använder en multi-byte uppsättning måste mysqli veta. Annars är en sql-injektion möjlig
. Se det här svaret
för mer information.
Använd det dock inte! Använd Förberedda uttalanden !