Tentu, Anda dapat melindungi dari injeksi dengan mysql_real_escape_string($postID) , selama Anda tidak keberatan dengan kueri setiap kali Anda memanggil fungsi tersebut.
PDO dan MySQLi menyediakan lebih dari sekadar perlindungan injeksi. Mereka memungkinkan pernyataan siap yang dapat melindungi terhadap injeksi tanpa banyak panggilan ke db. Ini berarti kinerja keseluruhan lebih cepat. Bayangkan mencoba menyisipkan ke tabel catatan pengguna dengan 30 kolom... itu banyak mysql_real_escape_string() panggilan.
Pernyataan yang disiapkan mengirim semua data sekaligus bersama dengan kueri dan melepaskannya di server dalam satu permintaan. Dukungan Mysql DB menyiapkan pernyataan, perpustakaan php mysql_ lama tidak mendukungnya.
Saatnya beralih ke mysqli atau lebih disukai PDO--Anda tidak akan pernah melihat ke belakang.
