这是对它是什么以及它是如何工作的一个清晰而简洁的解释。如何及为什么使用参数化

至关重要的是，该过程涉及到服务器在没有参数的情况下对请求进行预处理，因此它知道它的查询类型。因此，例如，SELECT查询只是SELECT查询，不能由参数(Request变量)连接为SELECT/DROP或其他MySQL注入。相反，注入数据将只是参数字段中的字符串数据。

该语句是数据库系统的一个特点，在数据库系统中，同一SQL语句以高效的方式重复执行。准备好的语句是一种模板，可供不同参数的应用程序使用。参考条款

数据库系统可以执行相同的SQL语句，而无需对同一类型的SQL语句进行一次又一次的解析、编译和优化。

您可以在MySQL中编写或创建预准备语句，但这并不是一种有效的方法，因为通过预准备语句API的二进制协议更好。

但是，您仍然可以编写，即使这样也不需要任何其他可以直接用SQL编写的编程。您可以为MySQL客户端程序使用准备语句，也可以在存储过程中为动态SQL方法使用准备语句。

在MySQL中创建准备语句：参考资料取自本文。

PREPARE TestStmt FROM 
'SELECT * FROM Test 
WHERE TestNumber=?';

您可以使用PHP代码通过API管理已准备好的语句，或者在JDBC级别进行管理。