В http://www.justinshattuck.com/2007/01/18/mysql-injection-cheat-sheet/?akst_action=share-this существует раздел, в котором утверждается, что вы можете обойти mysql_real_escape_string с некоторыми кодировками азиатских символов
Обход mysql_real_escape_string() с BIG5 или GBK
"строка впрыска"
に 関 す る 追加 情報:вышеупомянутые символы китайские Big5
Это правда? И если да, как бы вы защитили свой сайт от этого, если у вас не было доступа к подготовленным заявлениям?