Разбира се, можете да защитите от инжектиране с mysql_real_escape_string($postID)
, стига да нямате нищо против заявка всеки път, когато извикате функцията.
PDO и MySQLi предоставят много повече от защита от инжектиране. Те позволяват подготвени изявления, които могат да защитят срещу инжектиране без множество извиквания към db. Това означава по-бърза цялостна производителност. Представете си, че се опитвате да вмъкнете в таблица потребителски запис с 30 колони... това е много mysql_real_escape_string()
обаждания.
Подготвените оператори изпращат всички данни наведнъж заедно със заявката и ги избягват на сървъра с една заявка. Подготвени декларации за поддръжка на Mysql DB, старите php mysql_ библиотеки не ги поддържат.
Време е да преминете към mysqli или за предпочитане PDO – никога няма да погледнете назад.