Benim gibi açıklamaların olduğu

"SELECT * FROM `box` WHERE `thing` = '{$variable}'

Ben sadece ile bu temiz olabilir

$variable = str_replace("'","\'",$variable);
"SELECT * FROM `box` WHERE `thing` = '{$variable}'

İşe yarar mı? Benim ev sahibi mysql kaçış desteklemiyor ve ben mysqli kullanarak değilim.