$id = "1; DROP TABLE users;"
$id = mysqli_real_escape_string($link, $id);
$query = "SELECT * FROM users where id = $id";
свободен
Судя по числу подписчиков, этот вечнозеленый вопрос все ещё будоражит некорепшие умы.
И надо в который раз повторить очевидную вещь: вопрос сам по себе изначально некорректный.
Поскольку
функция mysqli_real_escape_string Не имеет. Никакого. Отношения. К SQL инъекциям. То, что эта функция предназначена для защиты от инъекций - самое древнее и заскорузлое суеверие хомячков от похепе.
На самом деле это функция для форматирования строк. К инъекциям отношения не имеет и применяться для защиты не должна.
Для защиты служат подготовленные выражения.
