Mélanger deux bibliothèques de base de données comme celle-ci est une mauvaise idée et potentiellement dangereux.
mysql_real_escape_string() a besoin d'un mysql_connect() classique existant connexion à la base de données (à partir de laquelle il peut obtenir des informations sur le jeu de caractères) pour être totalement sûre. La connexion PDO sera séparée, éventuellement avec des paramètres de jeu de caractères différents, ce qui entraînera finalement moins sécurité
:
Utilisez PDO jusqu'au bout, il n'y a pas d'alternative.
Si vous ne souhaitez pas utiliser d'instructions préparées, PDO::quote
devrait être la bonne fonction :
Notez cependant que même la page de manuel de cette fonction recommande d'utiliser à la place des instructions préparées.
