mysql_real_escape_string thường là đủ để tránh SQL injection. Tuy nhiên, điều này phụ thuộc vào việc nó không có lỗi, tức là có một số cơ hội nhỏ không xác định là nó là dễ bị tổn thương (nhưng điều này chưa hiển thị trong thế giới thực). Một giải pháp thay thế tốt hơn loại trừ hoàn toàn việc tiêm SQL ở cấp độ khái niệm là câu lệnh đã chuẩn bị sẵn . Cả hai phương pháp hoàn toàn phụ thuộc vào việc bạn áp dụng chúng một cách chính xác; tức là sẽ không bảo vệ bạn nếu bạn chỉ làm nó rối tung lên.
