mysql_real_escape_string
est généralement suffisant pour éviter l'injection SQL. Cela dépend du fait qu'il soit sans bogue, c'est-à-dire qu'il y a une petite chance inconnue qu'il est vulnérable (mais cela ne s'est pas encore manifesté dans le monde réel). Une meilleure alternative qui exclut complètement les injections SQL au niveau conceptuel est les instructions préparées . Les deux méthodes dépendent entièrement de votre application correcte ; c'est-à-dire qu'aucun des deux ne vous protégera si vous le gâchez de toute façon.