ワイルドカードは、SELECTで使用された場合にのみ有効になります クエリを実行し、特定の関数を使用する場合のみ。したがって、コードを挿入するには、mysql_real_escape_string()を使用しても問題ありません。 効果がないためです。
改善するには、 PHPsPDO を使用することをお勧めします。 パラメータバインディングを使用できるようにします。次の例は、PHPマニュアル からのものです。 :
<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
// insert one row
$name = 'one';
$value = 1;
$stmt->execute();
// insert another row with different values
$name = 'two';
$value = 2;
$stmt->execute();
?>