htmlspecialchars или mysql_real_escape_string?

Question

Я не уверен, какой из них использовать в этой ситуации ???

$query1 = "SELECT * FROM messages WHERE 
messages.custid='".htmlspecialchars($_SESSION['customerid'])."' 
ORDER BY messages.id LIMIT $start, $limit "; 

Answer 1

использование mysql_real_escape_string .. Но на самом деле, не делают этого

вместо этого, установить библиотеку PDO Груша, а затем использовать prepared statement для запроса

Answer 2

mysql_real_escape_string() сделана Especialy для Mysql таблицы , как указано в названии ;-)