הוסטס - פורום אחסון האתרים הגדול בישראל - SQLI

לדוגמה:

קוד:

SELECT id FROM table WHERE column = ?param?

אז אם אני מחליף את ?praram? ב

קוד:

$value = " ' \\ \x00 \r\n \" ';

$param = " '". $mysqli->real_escape_string($value) ."' ";

הפקודה הזו תעבור בהצלחה במסד, השאלה שלי היא אם אפשר להציב משהו במשתנה $value בכדי לגרום לSQLI ? כי אני בטוח שלא..

אני מודע לשימוש בprepared statements, אז בבקשה לא להזכיר את זה :)