mysqli подготовил заявления и mysqli_real_escape_string
В настоящее время я использую расширение MySQL PHP.
Традиционно я использовал mysqli_real_escape_string, чтобы избежать пользовательского ввода. Тем не менее, я смотрю на изменение кода (возможно, в несколько шагов), чтобы использовать подготовленные операторы.
Я хочу прояснить это - при условии, что я использую подготовленные операторы для привязки всех своих переменных, могу ли я быть уверен, что SQL-инъекция невозможна? (И полностью отказаться от mysqli_real_escape_string?)
Спасибо