PHP dice que mysql_real_escape_string (Que era lo que veníamos usando para escapar las variables y que no insertaran codigo) pero ahora esta obsoleta dice php:
http://php.net/manual/es/function.mysql-real-escape-string.php

Y sugiere usar PDO mysql o bien mysqli.
Quiere decir que por el hecho de usar mysqli las inyecciones SQL ya no son posibles?