Míchání dvou databázových knihoven takto je špatný nápad a potenciálně nebezpečné.
mysql_real_escape_string() potřebuje existující klasický mysql_connect() připojení k databázi (ze které může získat informace o znakové sadě), aby bylo zcela bezpečné. Připojení PDO bude samostatné, možná s odlišným nastavením znakové sady, což nakonec povede k méně zabezpečení
:
Používejte PDO celou cestu, neexistuje žádná alternativa.
Pokud nechcete používat připravené výpisy, PDO::quote
by měla být správná funkce:
Všimněte si však, že i manuálová stránka pro tuto funkci doporučuje používat připravené příkazy.