Vulnerabilidades de mysql_escape_string
Recientemente le expliqué a mi amigo la parametrización y sus ventajas, y él me preguntó si era mejor quemysqli_escape_string
en términos de seguridad. Específicamente, ¿puede pensar en algún ejemplo de inyección SQL que tenga éxito a pesar de que se escapen las cadenas de entrada (usando mysqli_escape_string)?
ACTUALIZAR:
Me disculpo por no ser lo suficientemente claro en mi pregunta original. La pregunta general que se hace aquí es: ¿es posible la inyección de SQL a pesar de escapar de las cadenas de entrada?