Vi muitos artigos e perguntas sobre o mysqli, e todos eles afirmam que ele protege contra injeções de sql. Mas é à prova de idiotas, ou ainda existe alguma maneira de contornar isso. Não estou interessado em ataques de script ou phishing entre sites, apenas injeções de sql.

O que eu deveria ter dito para começar é que estou usando declarações preparadas. Isso é o que eu quis dizer com mysqli. Se eu usar instruções preparadas sem concatenação de cadeias de caracteres, é à prova de falhas?