Cita:
Iniciado por art_rockerd 
Encontre esto...:
PHP
En el caso de PHP puede ser interesante hacer uso de PHP Data Objects (PDO) y las consultas parametrizadas (bindParam())
A continuación se presenta un ejemplo de sentencia SQL que devuelve los usuarios de la tabla TablaUsuarios cuyo valor de la columna Nombre coincide con el texto “Flu”:
Código PHP:
$sql= ‘SELECT * FROM TablaUsuarios WHERE Nombre= :name’;
$query= $conn->prepare($sql);
$query->bindParam(‘:name’, ‘Flu’);
$query->execute();
Fuente: http://www.flu-project.com/protegien...2ee-y-net.html
Es una de las formas que encontre de parametrizar las consultas, y usan PDO, aunque estoy termiado de migrar todo a MYSQLi (uu') usando real_escape_string, creen que sea mejor esta forma que les posteo aqui?
Gracias por sus comentarios.
Ese código es lo mismo que:
Código PHP:
$sql= ‘SELECT * FROM TablaUsuarios WHERE Nombre= :name’;
$query= $conn->prepare($sql);
$query->execute(array(':name'=>'Flu'));
cierto¿?