बेहतर अधिक उपयुक्त तरीका है mysqli और तैयार कथनों का उपयोग करना अर्थात:
$stmt = $mysqli->prepare("SELECT * FROM table WHERE value =?");
$stmt->bind_param("s",$row['item']); // I am assuming row['item'] is a string
$stmt->execute();
यदि आप mysqli का उपयोग नहीं कर सकते हैं या पूरी तरह से मना कर सकते हैं तो इसका उपयोग कर सकते हैं:
$query = "SELECT * FROM table WHERE value = '".mysql_real_escape_string($row['item'])."'";