Eu estava explicando a parametrização e suas vantagens para o meu amigo recentemente, e ele perguntou como era melhor do quemysqli_escape_string em termos de segurança. Especificamente, você pode pensar em qualquer exemplo de injeção SQL que tenha sucesso apesar das strings de entrada serem escapadas (usando mysqli_escape_string)?

ATUALIZAR:

Peço desculpas por não ter sido claro o suficiente na minha pergunta original. A pergunta geral que está sendo feita aqui é: a injeção de SQL é possível, mesmo escapando das strings de entrada?