O PHP MySQLi preparou consultas com parâmetros vinculados seguros?
Historicamente, eu sempre usei
mysql_real_escape_string()
para todas as entradas derivadas de usuários que acabam tocando o banco de dados.
Agora que eu convertei completamente para o MySQLi e estou usando consultas preparadas com parâmetros vinculados, eu efetivamente eliminei a possibilidade de ataques de injeção SQL?
Estou correto em dizer que não preciso mais
mysql_real_escape_string()?
Este é o meu entendimento e a base de um projeto meu:http://sourceforge.net/projects/mysqldoneright/files/Base/MysqlDoneRight-0.23.tar.gz/download
Isso não é algo que eu queira errar, já que agora que eu o lancei, poderia afetar outros também.
Toda entrada fornecida pelo usuário terminará em bind_parms.
As consultas fornecidas na fase de preparação são estáticas.