Антон Мелентьев: не рассматривали вариант с шаблонизатором? Например Twig? При большом желании шаблоны можно хранить в БД, ну и подставлять свои значения средствами шаблонизатора
Дмитрий Энтелис: mysqli_real_escape_string может не спасти, т.к. не всегда для инъекции необходимо использовать кавычки, пример из ссылки выше:
$iId = mysql_real_escape_string("1 OR 1=1");
$sSql = "SELECT * FROM table WHERE id = $iId";
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.