Oui, mais un oui mitigé.
Vous devez échapper correctement 100 % de l'entrée. Et vous devez définir correctement les jeux de caractères (si vous utilisez l'API C, vous devez appeler le mysql_set_character_set() au lieu de SET NAMES ). Si vous manquez une petite chose, vous êtes vulnérable. Alors c'est oui, tant que vous faites tout bien...
Et c'est la raison pour laquelle beaucoup de gens recommanderont des requêtes préparées. Pas parce qu'ils sont plus sûrs. Mais parce qu'ils sont plus indulgents...
