He visto muchos artículos y preguntas sobre mysqli, y todos afirman que protege contra las inyecciones sql. Pero, ¿es infalible o todavía hay alguna forma de evitarlo? No estoy interesado en scripts de sitios o ataques de phishing, solo inyecciones sql.

Lo que debería haber dicho para empezar es que estoy usando declaraciones preparadas. Eso es lo que quise decir con mysqli. Si uso declaraciones preparadas sin ninguna concatenación de cadenas, entonces ¿es infalible?