В настоящее время я использую расширение MySQL PHP.

Традиционно я использовал mysqli_real_escape_string, чтобы избежать пользовательского ввода. Тем не менее, я смотрю на изменение кода (возможно, в несколько шагов), чтобы использовать подготовленные операторы.

Я хочу прояснить это - при условии, что я использую подготовленные операторы для привязки всех своих переменных, могу ли я быть уверен, что SQL-инъекция невозможна? (И полностью отказаться от mysqli_real_escape_string?)

Спасибо