hi all

Do we use mysql_real_escape_string and htmlspecialchars while matching the values from database

PHP Code:
<?
$user_id 
mysql_real_escape_string($_POST['user_id']);

if(
$user_id $row['user_id']
{
    
/* do something */
}
?>
or

PHP Code:
<?
$user_id 
mysql_real_escape_string($_POST['user_id']);

if(
$user_id == mysql_real_escape_string($row['user_id'])
{
    
/* do something */
}
?>
or

PHP Code:
<?
$user_id 
mysql_real_escape_string($_POST['user_id']);

if(
$user_id == htmlspecialchars($row['user_id'])
{
    
/* do something */
}
?>
vineet