Điều đó có phần hiệu quả, nhưng nó không tối ưu - không phải tất cả dữ liệu bạn nhận được trong _GET và _POST sẽ đi vào cơ sở dữ liệu. Đôi khi bạn có thể muốn hiển thị nó trên trang thay vào đó, trong trường hợp này, mysql_real_escape_string chỉ có thể gây hại (thay vào đó, bạn muốn htmlentities).
Quy tắc chung của tôi là chỉ thoát khỏi một thứ gì đó ngay lập tức trước khi đưa nó vào ngữ cảnh mà nó cần được thoát.
Trong bối cảnh này, tốt hơn hết bạn nên chỉ sử dụng các truy vấn được tham số hóa - sau đó việc thoát được thực hiện tự động cho bạn.
