mysql_real_escape_string
reicht in der Regel aus, um eine SQL-Injection zu vermeiden. Dies hängt jedoch davon ab, dass es fehlerfrei ist, d. h. es gibt eine kleine unbekannte Chance, dass es ist verwundbar (aber das hat sich in der realen Welt noch nicht manifestiert). Eine bessere Alternative, die SQL-Injections auf konzeptioneller Ebene vollständig ausschließt, sind Prepared Statements . Beide Methoden hängen vollständig davon ab, ob Sie sie richtig anwenden. d.h. beides wird dich nicht schützen, wenn du es sowieso einfach vermasselst.