mysql_real_escape_string obvykle stačí, aby se zabránilo vkládání SQL. To však závisí na tom, zda je bez chyb, tj. existuje malá neznámá šance, že je zranitelný (ale to se v reálném světě ještě neprojevilo). Lepší alternativou, která zcela vylučuje injekce SQL na koncepční úrovni, jsou připravené příkazy . Obě metody zcela závisí na jejich správné aplikaci; tj. ani jeden vás neochrání, pokud to prostě stejně pokazíte.
