На этот вопрос уже есть ответ:

Я создал веб-сайт, который скоро будет запущен, и у меня есть пара вопросов о предотвращении внедрения SQL-кода. Я понимаю, как его использоватmysqli_real_escape_string но мне просто интересно, нужно ли мне использовать это для всех переменных, которые я получаю для своего оператора SQL, и нужно ли мне его использовать, когда я делаю также операторы select или только при вставке, обновлении и удалении? Кроме того, какие другие меры безопасности вы бы порекомендовали мне внедрить, прежде чем я запустил сайт, спасибо заранее за любую помощ