Các ký tự đại diện chỉ có hiệu lực khi được sử dụng trong SELECT truy vấn và sau đó chỉ khi sử dụng các chức năng nhất định. Vì vậy, để chèn mã, bạn có thể sử dụng mysql_real_escape_string() vì chúng sẽ không có tác dụng.
Để làm cho nó tốt hơn, tôi khuyên bạn nên sử dụng PHPs PDO để bạn có thể sử dụng ràng buộc tham số. Ví dụ sau là từ hướng dẫn sử dụng PHP :
<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
// insert one row
$name = 'one';
$value = 1;
$stmt->execute();
// insert another row with different values
$name = 'two';
$value = 2;
$stmt->execute();
?>
