Moin!

Ich habe mal gelesen, dass aufgrund der Konzeption (Escaping vs. Trennung von Daten und Anweisungen) nicht mal mysqli_real_escape_string richtig angewendet absolute Sicherheit gegen SQL-Injections bietet, sondern dies nur Prepared Statements vermögen – es ging aber wohl nicht um eine konkrete Lücke sondern eher darum, dass nicht eindeutig zu beweisen ist, dass mysqli_real_escape_string absolut sicher ist.

Dummerweise finde ich die Quelle nicht wieder (Stackoverflow?)...

Grüße