Заместващите символи влизат в сила само когато се използват в SELECT
заявки и след това само при използване на определени функции. Така че за вмъкване на кода ще бъде добре да използвате mysql_real_escape_string()
тъй като няма да имат ефект.
За да стане по-добре, бих ви препоръчал да използвате PHPs PDO така че можете да използвате обвързване на параметри. Следният пример е от ръководството за PHP :
<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
// insert one row
$name = 'one';
$value = 1;
$stmt->execute();
// insert another row with different values
$name = 'two';
$value = 2;
$stmt->execute();
?>