Tach!

Meine einzusetzenden Strings werden in PDO nicht behandelt, anders als in mysql_.

Der Satz hat Interpretationsspielraum. Meinst du, dass es in PDO nicht nötig sei, oder dass deine Funktion nicht mehr richtig arbeitet?

Meine Suche nach einem PDO-Äquivalent ergaben, dass ich die Query hierzu umschreiben müßte, was ich ansich nicht wirklich wollte.

Prinzipiell kann PDO auch selbst erstellte Querys verarbeiten. Prepared Statements sind nicht zwingend nötig. Allerdings sollten sie trotzdem bevorzugt werden, weil man sich das Quoten und Maskieren und vielleicht noch Typumwandeln sparen kann, und das am Ende auch noch prinzipbedingt keine SQL-Injection zulässt.

Daher meine Frage, ob es einen Ersatz für mysql_real_escape_string gibt, der meine Query unverändert lassen kann?

PDO hat auch für händisch erstellte Querys eine Funktion, namens PDO::quote(). Anders als die mysql(i)-Funktionen quotiert diese Funktion auch und maskiert nicht nur.

dedlfix.