Ja, maar een gekwalificeerd ja.
U moet 100% van de invoer correct escapen. En u moet de tekensets correct instellen (als u de C API gebruikt, moet u de mysql_set_character_set() aanroepen in plaats van SET NAMES ). Als je een klein ding mist, ben je kwetsbaar. Dus het is ja, zolang je alles goed doet...
En dat is de reden waarom veel mensen voorbereide zoekopdrachten zullen aanbevelen. Niet omdat ze veiliger zijn. Maar omdat ze meer vergevingsgezind zijn...