Estoy familiarizado con las declaraciones preparadas y sé que son las mejores prácticas cuando se trata de proteger contra la inyección de MySQL. Pero me pregunto cómo esta declaración de PHP / MySQL podría estar en riesgo de un ataque de inyección:

$result = mysqli_query($db,"SELECT name FROM users WHERE id = '".$_POST['name']."';");

Me parece que la entrada del usuario estaría contenida dentro de las comillas simples. ¿Puedes ejecutar más de una consulta en una?mysqli_query ¿declaración?

Además, hace que lo anterior sea tan fácil como esto ...

$result = mysqli_query($db,"SELECT name FROM users WHERE id = '".mysqli_real_escape_string($_POST['name'])."';");