もちろん、mysql_real_escape_string($postID)
を使用してインジェクションから保護することができます 、関数を呼び出すたびにクエリを気にしない限り。
PDOとMySQLiは、単なるインジェクション保護以上のものを提供します。それらは、dbを複数回呼び出すことなくagaisntインジェクションを保護できるプリペアドステートメントを可能にします。これは、全体的なパフォーマンスが向上することを意味します。 30列のユーザーレコードをテーブルに挿入しようとしていると想像してみてください...これは多くのmysql_real_escape_string()
呼び出します。
プリペアドステートメントは、クエリとともにすべてのデータを一度に送信し、1回のリクエストでサーバー上でデータをエスケープします。 Mysql DBはプリペアドステートメントをサポートしていますが、古いphpmysql_ライブラリはそれらをサポートしていません。
mysqliまたはできればPDOに移りましょう。振り返ることはありません。