Возможный дубликат:
SQL-инъекция, которая распространяется вокруг mysql_real_escape_string()
Я не видел никакой оценки или не устаревшей информации об этом. Итак, есть этот вопрос: Действительно ли mysql_real_escape_string() ПОЛНОСТЬЮ защищает от SQL-инъекции? Однако он очень устарел (его от '09), так как php 5.3 и mysql 5.5 в '12, защищает ли она полностью?