Ho letto la pillola a riguardo l'escape delle stringhe.

Una cosa non mi è chiara, ovvero la necessità del secondo parametro, ovvero la connessione:

$campoPerDb = mysql_real_escape_string($campo, $conn);



Io ho una query alla quale ho aggiunto al funzione, così:


mysql_query("INSERT INTO miatabella (commento) VALUES

(".mysql_real_escape_string($data['commento'])."'')");





Ho provato tramite form a inserire dei caratteri tipo ' @ à ‘ ì ”

e sono stati inserti correttamente nel db, senza indicare il secondo parametro $conn.

(la connessione è già attiva)



E' comunque corretto?

:master:



Grazie