Hi,

Der Satz hat Interpretationsspielraum. Meinst du, dass es in PDO nicht nötig sei, oder dass deine Funktion nicht mehr richtig arbeitet?

Letzteres.

Prinzipiell kann PDO auch selbst erstellte Querys verarbeiten. Prepared Statements sind nicht zwingend nötig. Allerdings sollten sie trotzdem bevorzugt werden, weil man sich das Quoten und Maskieren und vielleicht noch Typumwandeln sparen kann, und das am Ende auch noch prinzipbedingt keine SQL-Injection zulässt.

Nutze ich auchab und an, aber nicht immer und für diesen Fall gilt meine Frage.

Daher meine Frage, ob es einen Ersatz für mysql_real_escape_string gibt, der meine Query unverändert lassen kann?

PDO hat auch für händisch erstellte Querys eine Funktion, namens PDO::quote(). Anders als die mysql(i)-Funktionen quotiert diese Funktion auch und maskiert nicht nur.

Und wie sähe dann die Beispielquery aus?

Pit