Hola,
Estoy convertiendo mis paginas mysql a mysqli,
estaba intentando hacer esto:
$topay = $mysqli->real_escape_string($_POST['topay']);
pero no funciona.
Asi que me he puesto a leer y según he entendido eso no debe de hacerse asi
y que debería de usar prepared statements.
Para las páginas de la web no tendré más remedio que hacerlo.
¿Alquien tiene un enlace facil de entender donde se hace uno a partir de un formulario?
No tengo muy claro como declaro las variables.
Para las páginas de intranet que son la gran mayoría y que no tienen enlace en la web y usan password protected directories en el servidor,
es necesario alli prepared statements?
Hay alguna otra manera de escapar para algo de seguridad y para escapar caracteres?
Y tambien usaba mysql_real_escape_string para escapar caracteres en los nombre como la comilla simple.
Si no escapo la variable del formulario con mysql_real_escape_string como lo escapo para los caracteres que pueden insertar como en los nombres con comilla?

Y ya que estamos, se sigue usando htmlspecialchars al enviar a otra página o tampoco vale ya?

Gracias,