Wyjaśniałem ostatnio parametryzację i jej zalety mojemu przyjacielowi, a on zapytał, jak to jest lepsze niżmysqli_escape_string pod względem bezpieczeństwa. W szczególności, czy możesz wymyślić przykłady iniekcji SQL, które zakończyłyby się sukcesem, mimo że łańcuchy wejściowe są unikane (za pomocą mysqli_escape_string)?

AKTUALIZACJA:

Przepraszam, że nie jestem wystarczająco jasny w moim pierwotnym pytaniu. Ogólne pytanie, jakie należy zadać tutaj, to czy SQL injection jest możliwy pomimo uciekających ciągów wejściowych?