Ya, tapi memenuhi syarat ya.
Anda harus keluar dengan benar 100% dari input. Dan Anda perlu menyetel set karakter dengan benar (Jika Anda menggunakan C API, Anda perlu memanggil mysql_set_character_set()
bukannya SET NAMES
). Jika Anda melewatkan satu hal kecil, Anda rentan. Jadi ya, selama Anda melakukan semuanya dengan benar...
Dan itulah alasan banyak orang akan merekomendasikan kueri yang disiapkan. Bukan karena mereka lebih aman. Tapi karena mereka lebih pemaaf...