Natuurlijk kun je je beschermen tegen injectie met mysql_real_escape_string($postID)
, zolang je het niet erg vindt om elke keer dat je de functie aanroept een vraag te stellen.
PDO en MySQLi bieden veel meer dan alleen injectiebescherming. Ze maken voorbereide verklaringen mogelijk die kunnen beschermen tegen injectie zonder meerdere oproepen naar de db. Dit betekent snellere algehele prestaties. Stel je voor dat je een gebruikersrecord met 30 kolommen in een tabel probeert in te voegen... dat is veel mysql_real_escape_string()
oproepen.
Voorbereide instructies sturen alle gegevens in één keer samen met de query en ontsnappen deze in één verzoek op de server. Mysql DB's ondersteunen voorbereide verklaringen, de oude php mysql_-bibliotheken ondersteunen ze niet.
Tijd om over te stappen op mysqli of bij voorkeur PDO - je zult nooit meer achterom kijken.