mysql_real_escape_string suele ser suficiente para evitar la inyección de SQL. Sin embargo, esto depende de que esté libre de errores, es decir, hay una pequeña posibilidad desconocida de que lo esté. vulnerable (pero esto aún no se ha manifestado en el mundo real). Una mejor alternativa que descarta completamente las inyecciones SQL a nivel conceptual son las sentencias preparadas . Ambos métodos dependen completamente de que los apliques correctamente; es decir, ninguno te protegerá si simplemente lo estropeas de todos modos.
