1. Дырявий + устаревшая функция которая в последней версии помоему уже удаленна собсвенно один из способов обхода
https://exelab.ru/f/index.php?action=vthread&forum...
2.prepared подготовленыи запросы- т. е. один раз а сервак шлется шаблон а потом при каждом новом запросе будут слаться тока данные(в общех чертах).
Вообщем mysql_real_escape_string() колхоз еще тот уже как более 5-ти лет. 
