Jasne, możesz chronić się przed wstrzyknięciem za pomocą mysql_real_escape_string($postID) , o ile nie masz nic przeciwko zapytaniu za każdym razem, gdy wywołujesz funkcję.
PDO i MySQLi zapewniają znacznie więcej niż tylko ochronę przed wstrzyknięciem. Pozwalają na przygotowywanie instrukcji, które mogą chronić przed wstrzyknięciem bez wielokrotnych wywołań bazy danych. Oznacza to szybszą ogólną wydajność. Wyobraź sobie, że próbujesz wstawić do tabeli rekord użytkownika z 30 kolumnami... to dużo mysql_real_escape_string() połączeń.
Przygotowane zestawienia wysyłają jednocześnie wszystkie dane wraz z zapytaniem i eskejpują je na serwer w jednym żądaniu. Obsługa Mysql DB przygotowała instrukcje, stare biblioteki php mysql_ ich nie obsługują.
Czas przejść do mysqli lub najlepiej PDO — nigdy nie obejrzysz się za siebie.
