htmlspecialchars o mysql_real_escape_string?

No estoy seguro de cuál usar en esta situación ???

$query1 = "SELECT * FROM messages WHERE messages.custid='".htmlspecialchars($_SESSION['customerid'])."' ORDER BY messages.id LIMIT $start, $limit "; 

usa mysql_real_escape_string .. Pero realmente, no hagas eso

en su lugar, instale la biblioteca PDO de Pear, luego use una statement preparada para su consulta

mysql_real_escape_string () está hecho especialmente para Mysql Tables, como su nombre indica 😉