अगर हर जगह सही तरीके से इस्तेमाल किया जाए तो real_escape_string एक विकल्प है। लेकिन निम्नलिखित कोड पर विचार करें:
$page = $_GET['page'];
$sql = 'SELECT `name` FROM `user` WHERE `id` = ' . mysqli_real_escape_string($page);
सुरक्षित है या नहीं? real_escape_स्ट्रिंग केवल उद्धरण चिह्नों के अंदर तारों से बचने के लिए उपयोग किया जा सकता है। $page
हो सकता है 1 OR id IN (2,3,4,5,6,7,8,9)
→ कोई उद्धरण चिह्न नहीं, कोई वास्तविक पलायन नहीं। इस मामले में सही डेटाटाइप (int) को कास्ट करने से मदद मिल सकती है। बेहतर होगा कि आप तैयार किए गए कथनों का उपयोग करें, उनका गलत उपयोग करना उतना आसान नहीं है।