declarações preparadas para mysqli e mysqli_real_escape_string
Atualmente, estou usando a extensão php mysqli.
Tradicionalmente, tenho usado mysqli_real_escape_string para escapar da entrada do usuário. No entanto, estou pensando em mudar o código (espero que tenha o menor número possível de etapas) para usar instruções preparadas.
Quero esclarecer isso - desde que eu use instruções preparadas para vincular todas as minhas variáveis, posso ter certeza de que a injeção de sql é impossível? (E dispensar completamente o mysqli_real_escape_string?)
obrigado