execute() 传参或 bindValue() 是绑定常量到参数；bindParam() 是绑定变量到参数。

相比之下，绑定变量更加灵活。

讲的很清楚了，有2种防止注入的方式，一种是通过QUOTE（）函数去设置拦截，这种方式是通过QUERY本身的sql语句产生的对象，来调用这个函数进行某一个比如用户名的拦截，第二种是通过预处理语句，prepare准备SQL语句进行调用，调用的本身采用字符串过滤，所以等于直接防止了SQL注入，第一种=自行车，第二种=宝马，实际开发都是看情况的，大项目=大街，小项目=小巷，宝马开不进小巷，自行车走大街显得寒碜