mysql_real_escape_string обикновено е достатъчно, за да се избегне SQL инжекцията. Това обаче зависи от това, че няма грешки, т.е. има малък неизвестен шанс е уязвим (но това все още не се е проявило в реалния свят). По-добра алтернатива, която напълно изключва SQL инжекции на концептуално ниво, е подготвените оператори . И двата метода изцяло зависят от правилното им прилагане; т.е. нито едното, нито другото няма да ви защити, ако просто го объркате така или иначе.
