Historisch habe ich immer benutzt

mysql_real_escape_string()

für alle Eingaben von Benutzern, die am Ende die Datenbank berühren.

Habe ich nach der vollständigen Umstellung auf MySQLi und der Verwendung vorbereiteter Abfragen mit gebundenen Parametern die Möglichkeit von SQL-Injection-Angriffen effektiv beseitigt?

Bin ich richtig zu sagen, ich brauche nicht mehr

mysql_real_escape_string()?

Dies ist mein Verständnis und die Basis eines meiner Projekte:http://sourceforge.net/projects/mysqldoneright/files/Base/MysqlDoneRight-0.23.tar.gz/download

Dies ist nichts, was ich falsch machen möchte, obwohl es jetzt, da ich es veröffentlicht habe, auch andere betreffen könnte.

Alle vom Benutzer eingegebenen Eingaben werden nun in bind_parms gespeichert.
Die in der Vorbereitungsphase bereitgestellten Abfragen sind statisch.