Die Idee vorbereiteter Anweisungen besteht darin, dass Sie Variablen nicht verketten, sondern die Parameter binden. Der Unterschied besteht darin, dass die Variable nie in das SQL eingefügt wird, sondern die MySQL-Engine die Variable separat behandelt, wodurch keine Möglichkeit einer SQL-Injection besteht. Dies hat auch den zusätzlichen Vorteil, dass kein Maskieren oder Vorverarbeiten der Variablen erforderlich ist.
$query = $db->prepare("SELECT password FROM login WHERE username = :username");
$query->execute(array(':username' => $username));
