Tak, ale kwalifikowane tak.
Musisz poprawnie uciec w 100% z danych wejściowych. I musisz odpowiednio ustawić zestawy znaków (jeśli używasz C API, musisz wywołać mysql_set_character_set()
zamiast SET NAMES
). Jeśli przegapisz jedną drobną rzecz, jesteś bezbronny. Więc to jest tak, o ile robisz wszystko dobrze...
I dlatego wiele osób będzie polecać przygotowane zapytania. Nie dlatego, że są bezpieczniejsze. Ale ponieważ są bardziej wyrozumiali...