PHP: effettuare l'escaping di una variabile nelle query con MySQL

In PHP è possibile effettuare l'escaping di un valore da usare in una query ad un database MySQL.

L'estensione mysqli fornisce la funzione di utility (o il metodo analogo se si usa l'approccio OO) mysqli_real_escape_string():


$dbcon = @mysqli_connect('localhost', 'username', 'password', 'db') OR die (mysqli_connect_error());
mysqli_set_charset($dbcon, 'utf8');

$email = trim($_POST['email']);
$esc_email_value = mysqli_real_escape_string($dbcon, $email);
$query = "SELECT user_id, name, user_level FROM users WHERE email='$esc_email_value'";