Trộn hai thư viện cơ sở dữ liệu như thế này là một ý tưởng tồi và có khả năng không an toàn.
mysql_real_escape_string() cần một mysql_connect() cổ điển, hiện có kết nối cơ sở dữ liệu (mà nó có thể lấy thông tin bộ ký tự từ đó) hoàn toàn an toàn. Kết nối PDO sẽ riêng biệt, có thể với các cài đặt bộ ký tự khác nhau, cuối cùng dẫn đến ít hơn bảo mật
:
Sử dụng PDO tất cả các cách, không có thay thế.
Nếu bạn không muốn sử dụng các câu lệnh đã soạn sẵn, hãy PDO::quote
phải là chức năng chính xác:
Tuy nhiên, lưu ý rằng ngay cả trang hướng dẫn sử dụng chức năng đó cũng khuyến nghị sử dụng các câu lệnh đã chuẩn bị sẵn để thay thế.
