दोनों। तैयार किए गए कथन SQL इंजेक्शन से आपकी रक्षा करेंगे यदि, और केवल तभी, जब आप उनका सही तरीके से उपयोग करते हैं। यदि आप अभी भी उदाहरण के लिए तालिका/स्तंभ नामों के लिए चरों को प्रक्षेपित कर रहे हैं, तो केवल तैयार किए गए कथनों का उपयोग करने से मदद नहीं मिलेगी।
$stmt = "SELECT * FROM $table WHERE $column = ?"; //not good...