SQL – Injection SQL ok mais comment l’éviter avec MS SQL avec PHP?

Sous MySQL il existe la fonction mysql_escape_string ou encore mysql_real_escape_string, mais sous MS SQL avec PHP ces fonctions n’existent pas.

Voici une fonction équivalente a mysql_escape_string , mais l’une comme l’autre elles ne protègent pas les caractères % et _.

[php]
function mssql_escape_string($str) {
$str = str_replace("’"," »",$str);
$str = htmlspecialchars($str, ENT_QUOTES);
return $str;
}
[/php]