तैयार किए गए बयानों का विचार यह है कि आप चर को संयोजित नहीं करते हैं, इसके बजाय आप मापदंडों को बांधते हैं। अंतर यह है कि वेरिएबल कभी भी SQL में नहीं डाला जाता है, बल्कि MySQL इंजन वेरिएबल को अलग से हैंडल करता है जो SQL इंजेक्शन की कोई संभावना नहीं छोड़ता है। इसमें अतिरिक्त बोनस भी है कि चर से बचने या पूर्व-प्रसंस्करण की आवश्यकता नहीं है।
$query = $db->prepare("SELECT password FROM login WHERE username = :username");
$query->execute(array(':username' => $username));