Recientemente le expliqué a mi amigo la parametrización y sus ventajas, y él me preguntó si era mejor quemysqli_escape_string en términos de seguridad. Específicamente, ¿puede pensar en algún ejemplo de inyección SQL que tenga éxito a pesar de que se escapen las cadenas de entrada (usando mysqli_escape_string)?

ACTUALIZAR:

Me disculpo por no ser lo suficientemente claro en mi pregunta original. La pregunta general que se hace aquí es: ¿es posible la inyección de SQL a pesar de escapar de las cadenas de entrada?