Wildcards werden nur wirksam, wenn sie in SELECT verwendet werden Abfragen und dann nur bei Verwendung bestimmter Funktionen. Zum Einfügen des Codes ist es also in Ordnung, mysql_real_escape_string() zu verwenden da sie keine Wirkung haben.
Um es besser zu machen, würde ich empfehlen, dass Sie PHPs PDO verwenden damit Sie die Parameterbindung verwenden können. Das folgende Beispiel stammt aus dem dem PHP-Handbuch :
<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
// insert one row
$name = 'one';
$value = 1;
$stmt->execute();
// insert another row with different values
$name = 'two';
$value = 2;
$stmt->execute();
?>
