Он не защищает от SQL-инъекций лучше, чем старый модуль mysql, просто облегчает разработку для него, который теперь может использовать подготовленные операторы вместо вызова mysql_real_escape_string.

ел много статей и вопросов о MySQL, и все они утверждают, что он защищает от инъекций SQL. Но это доказательство дурака, или есть еще способ обойти это. Меня не интересуют межсайтовые сценарии или фишинговые атаки, только инъекции SQL.

Для начала я должен был сказать, что я использую подготовленные заявления. Это то, что я имел в виду с mysqli. Если я использую подготовленные операторы без конкатенации строк, то надежно ли это?