я отправляю");-- из поля ввода на мой PHP-сервер localhost, он автоматически преобразует его в

\ "); -

Это кажется великолепным, за исключением того, что я не знаю, насколько заслуживает доверия это поведение. Хотя кажется, что он избегает SQL-инъекций, моя среда разработки не совпадает с производственной средой, и я боюсь, что производственная среда может не иметь такой защиты автоматически активированной ...

Почему PHP делает это (преобразовать ввод без использованияmysql_real_escape_string)? Является ливсегда сделать это или только с определенными расширениями? Безопасно ли полагаться на это поведение для предотвращения SQL-инъекций?