mysql_real_escape_string is meestal voldoende om SQL-injectie te voorkomen. Dit hangt er wel van af of het bugvrij is, d.w.z. er is een kleine onbekende kans dat het is kwetsbaar (maar dit heeft zich nog niet in de echte wereld gemanifesteerd). Een beter alternatief dat SQL-injecties op conceptueel niveau volledig uitsluit, zijn voorbereide statements . Beide methoden zijn volledig afhankelijk van het correct toepassen ervan; d.w.z. geen van beide zal je beschermen als je het toch gewoon verprutst.
