Symbole wieloznaczne działają tylko wtedy, gdy są używane w SELECT zapytania, a następnie tylko podczas korzystania z określonych funkcji. Więc do wstawienia kodu będzie dobrze użyć mysql_real_escape_string() ponieważ nie przyniosą żadnego efektu.
Aby było lepiej, polecam użycie PHPs PDO aby można było użyć wiązania parametrów. Poniższy przykład pochodzi z podręcznika PHP :
<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
// insert one row
$name = 'one';
$value = 1;
$stmt->execute();
// insert another row with different values
$name = 'two';
$value = 2;
$stmt->execute();
?>
