mysqli_real_escape_string doit être conscient du jeu de caractères de la connexion afin qu'il puisse échapper correctement les caractères spéciaux. Si vous utilisez un ensemble multi-octets, mysqli doit le savoir. Sinon une injection SQL est possible
. Voir cette réponse
pour plus de détails.
Cependant, ne l'utilisez pas ! Utilisez Déclarations préparées !
