Почему mysql_real_escape_string () не должен избегать SQL-инъекций?

Я слышал, как люди говорят (в отношении C # / SQL Server, но также и в отношении PHP / MySql): Не экранируйте строки вручную - используйте вместо них хранимые процедуры .

Хорошо, я могу согласиться с этим предложением, но почему? Многие говорят (в том числе и о SO) mysql_real_escape_string () вполне достаточно, mysql_real_escape_string () хорошо, mysql_real_escape_string () является первым способом защиты.

Почему? Есть ли случай, когда mysql_real_escape_string () может выйти из строя? По крайней мере, один ... Мне не нужно много :)