Atualmente, estou usando a extensão php mysqli.

Tradicionalmente, tenho usado mysqli_real_escape_string para escapar da entrada do usuário. No entanto, estou pensando em mudar o código (espero que tenha o menor número possível de etapas) para usar instruções preparadas.

Quero esclarecer isso - desde que eu use instruções preparadas para vincular todas as minhas variáveis, posso ter certeza de que a injeção de sql é impossível? (E dispensar completamente o mysqli_real_escape_string?)

obrigado