Chắc chắn, bạn có thể bảo vệ chống lại việc tiêm bằng mysql_real_escape_string($postID) , miễn là bạn không bận tâm đến một truy vấn mỗi khi bạn gọi hàm.
PDO và MySQLi cung cấp nhiều thứ hơn là chỉ bảo vệ tiêm. Chúng cho phép các câu lệnh đã chuẩn bị sẵn có thể bảo vệ việc tiêm agaisnt mà không cần nhiều lệnh gọi đến db. Điều này có nghĩa là hiệu suất tổng thể nhanh hơn. Hãy tưởng tượng cố gắng chèn vào bảng một bản ghi người dùng có 30 cột ... đó là rất nhiều mysql_real_escape_string() cuộc gọi.
Các câu lệnh chuẩn bị gửi tất cả dữ liệu cùng một lúc cùng với truy vấn và thoát nó trên máy chủ trong một yêu cầu. Các trạng thái chuẩn bị hỗ trợ của Mysql DB, các thư viện php mysql_ cũ không hỗ trợ chúng.
Đã đến lúc chuyển sang mysqli hoặc tốt hơn là PDO - bạn sẽ không bao giờ nhìn lại.
