mysql_real_escape_string er normalt nok til at undgå SQL-injektion. Dette afhænger dog af, at det er fejlfrit, dvs. der er en lille ukendt chance for, at det er sårbare (men dette har ikke manifesteret sig i den virkelige verden endnu). Et bedre alternativ, som fuldstændig udelukker SQL-injektioner på et konceptuelt niveau, er forberedte udsagn . Begge metoder afhænger helt af, at du anvender dem korrekt; dvs. ingen af dem vil beskytte dig, hvis du bare ødelægger det alligevel.
