mysqli_real_escape_string muss den Zeichensatz der Verbindung kennen, damit Sonderzeichen richtig maskiert werden können. Wenn Sie einen Multi-Byte-Satz verwenden, muss mysqli dies wissen. Andernfalls ist eine sql-Injection möglich
. Siehe diese Antwort
für mehr Details.
Verwenden Sie es jedoch nicht! Verwenden Sie vorbereitete Anweisungen !
