Das Mischen zweier Datenbankbibliotheken auf diese Weise ist eine schlechte Idee und potenziell unsicher.
mysql_real_escape_string() benötigt ein vorhandenes, klassisches mysql_connect() Datenbankverbindung (von der es Zeichensatzinformationen erhalten kann) absolut sicher ist. Die PDO-Verbindung wird separat sein, möglicherweise mit unterschiedlichen Zeichensatzeinstellungen, was letztendlich zu weniger führt Sicherheit
:
Verwenden Sie durchgehend PDO, es gibt keine Alternative.
Wenn Sie keine vorbereiteten Anweisungen verwenden möchten, PDO::quote
sollte die richtige Funktion sein:
Beachten Sie jedoch, dass sogar die Handbuchseite für diese Funktion empfiehlt, stattdessen vorbereitete Anweisungen zu verwenden.
