Ако се използва навсякъде правилно real_escape_string е опция. Но помислете за следния код:
$page = $_GET['page'];
$sql = 'SELECT `name` FROM `user` WHERE `id` = ' . mysqli_real_escape_string($page);
Безопасно или не? real_escape_низ може да се използва само за екраниране на низове в кавички. $page може да бъде 1 OR id IN (2,3,4,5,6,7,8,9) → без кавички, без реално бягство. Прехвърлянето към правилния тип данни (int) може да помогне в този случай. По-добре е да използвате подготвени отчети, те не са толкова лесни за злоупотреба.
