Ja, men et kvalificeret ja.
Du skal undslippe 100 % af inputtet korrekt. Og du skal indstille tegnsæt korrekt (hvis du bruger C API, skal du kalde mysql_set_character_set() i stedet for SET NAMES ). Hvis du går glip af en lille ting, er du sårbar. Så det er ja, så længe du gør alt rigtigt...
Og det er grunden til, at mange mennesker vil anbefale forberedte forespørgsler. Ikke fordi de er mere sikre. Men fordi de er mere tilgivende...