Olá pessoal, nesses dias atrás fiquei numa dúvida usando mysqli_real_escape_string, não sei se estou usando da forma errada que acabei desenvolvendo em meu projeto e apliquei ela desta maneira conforme abaixo:
Por exemplo eu recebendo os dados no método POST eu trabalho assim:
$nome = $MySQLi->real_escape_string(strip_tags(trim($_POST['nome'])));
Seria errado usar da maneira acima a função mysqli_real_escape_string e não iria escapar os caracteres especiais, ou seria desta foram abaixo a correta:
$nome=trim(strip_tags(mysqli_real_escape_string($MySQLi,$_POST['nome'])));
Notem que na 2º opção eu tive que colocar o nome da minha conexão como pedia como parâmetro o $MySQLi...
E se eu fizesse da outra maneira abaixo usando o addslashes :
$senha_scape =trim(strip_tags(addslashes(mysqli_real_escape_string($MySQLi,$_POST['senha']))));
Seria forçado e desnecessário, sabendo que seria inserido as barras invertidas na tabela junto com os dados...