PDO의 bindParam을 쓰면 변수와 SQL syntax가 분리 되기 때문에
SQL injection을 막기 위한 mysql_real_escape_string을 쓰지 않아도 됩니다.
http://stackoverflow.com/questions/3716373/real-escape-string-and-pdo
Use prepared statements. Those keep the data and syntax apart, which removes the need for escaping mysql data. See e.g. this tutorial.
- opencode.co.kr -