mysqli_real_escape_string
трябва да е наясно с набора от знаци на връзката, за да може да избягва правилно специалните символи. Ако използвате многобайтов набор, тогава mysqli трябва да знае. В противен случай е възможно sql инжекция
. Вижте този отговор
за повече подробности.
Въпреки това, не го използвайте! Използвайте Подготвени изявления !