Jak powinna wyglądać dobrze zabezpieczona zmienna przed atakiem SQL Injection ?

Jakiś przykładzik możecie podać ?

Bo wiem, że tak wygląda zwykła zmienna:

[PHP] pobierz, plaintext 
$zmienna = $_POST["zmienna"];
 
mysql_real_escape_string($zmienna); // tak ?
[PHP] pobierz, plaintext 

Nawet dobrze zabezpieczona zmienna, ale nieprawidłowo przekazana, potrafi nasmrodzić. Najlepiej używać prepared statements i bindowania zmiennych. Ogólnie jeśli już masz coś pisać sam, to używaj PDO i jego mechanizmów i odpuść sobie zabawę z mysql(i)_* a życie stanie się prostsze.

Zawsze możesz także korzystać z funkcji addslashes