mysql_escape_string
का विकल्प पीडीओ में तैयार बयान का उपयोग कर रहा है। उदाहरण के लिए Yii में:
$user = Yii::app()->db->createCommand()
->select('username, password')
->from('tbl_user')
->where('id=:id', array(':id'=>$_GET['userId']))
->queryRow();
(Yii संदर्भ दस्तावेज़ से http://www.yiiframework.com/doc/api /1.1/CDbCommand )
जब आप तैयार स्टेटमेंट में प्लेसहोल्डर्स के माध्यम से पैरामीटर पास करते हैं तो आप SQL इंजेक्शन के खिलाफ सुरक्षित होते हैं।