Parametriserede forespørgsler udfører korrekt substitution af argumenter, før SQL-forespørgslen køres. Det fjerner fuldstændig muligheden for "beskidte" input, der ændrer betydningen af din forespørgsel. Det vil sige, at hvis inputtet indeholder SQL, kan det ikke blive en del af det, der udføres, fordi SQL'en aldrig bliver injiceret i den resulterende sætning.
