mysql_real_escape_string
zwykle wystarcza, aby uniknąć wstrzyknięcia SQL. Zależy to jednak od tego, że jest wolny od błędów, tj. istnieje niewielka nieznana szansa, że jest wrażliwe (ale to jeszcze nie zamanifestowało się w prawdziwym świecie). Lepszą alternatywą, która całkowicie wyklucza wstrzykiwanie SQL na poziomie koncepcyjnym, jest przygotowane instrukcje . Obie metody całkowicie zależą od prawidłowego ich zastosowania; tzn. żadne z nich nie będzie Cię chronić, jeśli i tak po prostu to zepsujesz.