W podręczniku PHP, istnieje uwaga:Czy mysql_real_escape_string wystarczy do Anti SQL Injection?
Uwaga: Jeśli funkcja ta nie jest wykorzystywana do danych ewakuacyjnych, zapytanie jest podatny do SQL Injection Attacks.
Czy to wystarczy do wstrzyknięcia anty sql? Jeśli nie, czy możesz podać przykład i dobre rozwiązanie wstrzyknięcia anty sql?
Zobacz [Czy mysql_real_escape_string() W PEŁNI chroni przed iniekcją SQL? ] (http://stackoverflow.com/questions/1220182/does-mysql-real-escape-string-fully-protect-against-sql- injection). –
zdecydowanie duplikat powyższego – mikeycgto