Возможный дубликат:
SQL-инъекция, которая обходит mysql_real_escape_string()Я не видел никакой ценной или устаревшей информации по этому поводу. Итак, есть вопрос:Защищает ли mysql_real_escape_string()от SQL-инъекций ПОЛНОСТЬЮ? Тем не менее, он очень устарел(с '09), поэтому, начиная с php 5.3 и mysql 5.5 в '12, полностью ли он защищает?