L'idea delle istruzioni preparate è che non si concatenano le variabili, ma si legano i parametri. La differenza è che la variabile non viene mai inserita nell'SQL, piuttosto il motore MySQL gestisce la variabile separatamente, il che non lascia alcuna possibilità di SQL Injection. Questo ha anche il vantaggio aggiuntivo che non è richiesta alcuna evasione o pre-elaborazione della variabile.
$query = $db->prepare("SELECT password FROM login WHERE username = :username");
$query->execute(array(':username' => $username));
