Jistě, můžete se chránit před injekcí pomocí mysql_real_escape_string($postID) , pokud vám nebude vadit dotaz při každém volání funkce.
PDO a MySQLi poskytují mnohem více než jen ochranu před vstřikováním. Umožňují připravené příkazy, které mohou chránit před injekcí bez vícenásobného volání do databáze. To znamená rychlejší celkový výkon. Představte si, že se pokoušíte vložit do tabulky uživatelský záznam s 30 sloupci... to je hodně mysql_real_escape_string() hovory.
Připravené výpisy odesílají všechna data najednou spolu s dotazem a unikají na serveru v jednom požadavku. Podpora Mysql DB připravila prohlášení, staré php mysql_ knihovny je nepodporují.
Je čas přejít na mysqli nebo raději PDO – už se nikdy neohlédnete.