mysqli_real_escape_string si musí být vědom znakové sady připojení, aby mohl správně unikat speciálním znakům. Pokud používáte vícebajtovou sadu, mysqli to musí vědět. Jinak sql injekce je možná
. Viz tuto odpověď
pro více podrobností.
Nicméně, nepoužívejte to! Použijte Připravená prohlášení !