addlashes is het ruwe equivalent van str_replace($str, "'", "\\'")
. Je kunt het op een triviale manier omzeilen met een willekeurig aantal unicode-reeksen die uitgroeien tot '
in mysql, maar zien er totaal anders uit dan addslashes()
.
Mysql_real_escape_String()
aan de andere kant, gebruikt de eigenlijke interne mysql-ontsnappingsfunctie, die precies weet waarnaar te zoeken en te repareren om het "veilig" te maken voor mysql. Wat voor mysql werkt, werkt misschien niet voor een andere database, omdat elke database een iets andere semantiek en vereisten voor escape heeft, maar als je met mysql werkt, is de "echte escape-string" de juiste keuze.