Thay thế cho mysql_escape_string trong PDO đang sử dụng các câu lệnh chuẩn bị sẵn. Ví dụ ở Yii:
$user = Yii::app()->db->createCommand()
->select('username, password')
->from('tbl_user')
->where('id=:id', array(':id'=>$_GET['userId']))
->queryRow();
(Từ tài liệu tham khảo Yii http://www.yiiframework.com/doc/api /1.1/CDbCommand )
Bạn được bảo vệ khỏi việc đưa vào SQL khi bạn chuyển các tham số qua trình giữ chỗ trong một câu lệnh đã chuẩn bị.
